Categories: Sicherheit

Google Campus: Ingenieur knackt elektronische Türschlösser

Google-Mitarbeiter David Tomaschik ist eher zufällig auf eine Sicherheitslücke gestoßen, die ihm das willkürliche Öffnen und Schließen elektronischer Schlösser erlaubte. Er konnte damit das Sicherheitssystem des Herstellers Software House umgehen, das die Google-Zentrale vor unbefugten Eindringlingen schützen sollte.

Dem Sicherheitsingenieur fielen nicht randomisierte verschlüsselte Nachrichten auf, die die Software-House-Geräte iStar Ultra und IP-ACM über das Firmennetzwerk schickten. Bei näherer Betrachtung entdeckte er, dass die Geräte einen fest programmierten Kodierungsschlüssel nutzen. Das erlaubte ihm, den Schlüssel zu replizieren und das Sicherheitssystem zu knacken, indem er präparierte Nachrichten über das Netzwerk schickte.

Das hatte zur Folge, dass selbst legitime Besucher oder Google-Mitarbeiter mit RFID-Schlüsselkarten vor verschlossenen Türen standen, wenn Tomaschik das so wollte. Umgekehrt konnte er für die Öffnung von Türen sorgen, die eigentlich geschlossen bleiben sollten.

Über seine Erfahrungen mit diesem Sicherheitsproblem berichtete er im letzten Monat im IoT Village der Konferenz DEF CON, das der mangelnden Sicherheit handelsüblicher IoT-Geräte gilt. Die als CVE-2017-17704 erfasste Schwachstelle könnte einem Angreifer mit Zugang zum Netzwerk erlauben, Türen ohne jeden Log-Eintrag zu öffnen. Google selbst hat Vorkehrungen dagegen getroffen mit einem segmentierten Netzwerk.

„Wir haben das Problem zusammen mit unseren Kunden addressiert“, erklärte gegenüber Forbes ein Sprecher von Johnson Controls, der Muttergesellschaft von Software House. Mit iStar v2 soll TLS-Verschlüsselung für mehr Sicherheit sorgen, setzt allerdings einen Austausch von Hardware im Sicherheitssystem von Kunden voraus.

Googles Sicherheitsexperte David Tomaschik weist darauf hin, dass die installierten Software-House-Systeme nicht über genug Speicher für das Aufspielen neuer Firmware verfügen. Er geht davon aus, dass die fehlerhafte Technik innerhalb wie außerhalb von Google breit eingesetzt wird, da nur wenige Unternehmen Produkte dieser Kategorie anbieten. Damit könnten nach wie vor viele Unternehmen auf hackbare elektronische Schlösser vertrauen.

[mit Material von Charlie Osborne, ZDNet.com]

Bernd Kling

Recent Posts

Aukey-Webcam PC-LM1E mit 1080P ausprobiert

Mit der PC-LM1E bietet Aukey eine USB-Webcam mit einer Auflösung von maximal 1080P. Die Übertragungsrate…

14 Stunden ago

GitHub schließt von Google entdeckte Zero-Day-Lücke

Die Microsoft-Tochter verpasst die Frist von 90 Tagen sowie die von Google gewährte Verlängerung von…

14 Stunden ago

Apples Head of Global Security wegen Bestechung angeklagt

Er soll Polizeibeamten eine Spende über 200 iPads als Gegenleistung für eine Waffenlizenz geboten haben.…

16 Stunden ago

VMware warnt vor kritischer Zero-Day-Lücke in Workspace One

Sie ermöglicht eine Code-Ausführung außerhalb der virtuellen Umgebung. Ein Angreifer benötigt allerdings gültige Anmeldedaten. VMware…

18 Stunden ago

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Cyberkriminelle kapern die Websites per Brute Force. Anschließend schleusen sie Schadcode ein, der schließlich statt…

20 Stunden ago

Kontoübername mit einem Klick: TikTok schließt schwerwiegende Sicherheitslücke

Ein unabhängiger Sicherheitsforscher kombiniert zwei Fehler zu einem Exploit. Betroffen ist die TikTok-Website. Der Forscher…

21 Stunden ago