Installér en smartlås på hoveddøren, så kan du åbne døren fra smartphonen. Men det kan hackere også.
På hackerkonferencen DEF CON, der i disse dage afholdes i Las Vegas, har to sikkerhedseksperter fremlagt deres research på smartlåse. Det skriver tom’s guide.
Smartlåse er låse der kan monteres på eksempelvis hoveddøren, så dørlåsen herefter kan åbnes/lukkes fra en smartphone, fremfor med en nøgle.
Der findes forskellige typer af smartlåse, men låse der styres over Bluetooth er blandt de populære. De kan drives af batterier og installationen kan gøres enkel.
75% låse kan hackes
De to forskere Anthony Rose og Ben Ramsey har testet 16 af de populære smartlåse på det amerikanske marked lige nu.
Det er mærker som Quicklock, iBlulock, Plantraco, Ceomate, Elecycle, Vians, Okidokey og Mesh Motion.
De fandt problemer ved 12 af de 16 låse.
Ubeskyttede kodeord
Fire af låsene overførte kodeordet uden kryptering, så en teknisk kyndig indbrudstyv ville, vha. en Bluetooth-sniffer til 700 kroner, kunne opsnappe det.
To af de låse (Quicklock Doorlock og Quicklock Padlock) kunne bogstaveligt talt gå i baglås, hvis forskerne ændrede på kodeordet i transmissionen.
Uden kendskab til det nye kodeord ville ejeren herefter være låst ude, og det er ikke muligt at skifte kodeord uden at fjerne batteriet og det kan man først når låsen er åben igen. Så har man ikke nøglen med kan man risikere at blive låst ude, af en snedig moderne indbrudstyv.
Nemme at narre
De øvrige låse benyttede krypterede kodeord, men forskerne fandt at ved én lås kunne de opsnappe det krypterede kodeord, og sende det tilbage til låsen, som herefter åbnede.
En lås med mærket Okidokeys, som bl.a. sælges på Amazon, kunne bringes til at åbne ved at ændre en enkelt byte i den krypterede datapakke, hvorefter låsen endte i en fejlstatus og åbnede.
En hård nød
Låsen Mesh Motion Bitlock var lidt hårdede at knække, men her opdagede de at låsens tilfældighedsgenerator som benyttes til krypteringen ikke var helt så tilfældig.
Faktisk tog den bare det tal fra sidst og lagde én til, for at skabe et nyt “tilfældigt tal”. Med den viden kunne de agere ejer og åbne låsen.
De bedste
De bedste låse kom fra Kwikset og August. De gjorde alt rigtigt i forhold til kryptering og det lykkedes ikke de to forskere at åbne dem elektronisk.
De påpegede dog at en video på YouTube viser hvordan låsen Kwikset Kevo kan åbnes vha. en flad skruetrækker. Så her kan den lavpraktiske indbrudstyv være med.
Låsen August Smart Lock, der bestod de to forskeres “test”, blev herefter knækket af en anden forsker på DEF CON konferencen.
Fabrikanter virker ligeglade
Anthony Rose og Ben Ramsey kontaktede fabrikanterne af de 12 låse som de ikke fandt gode nok, og de hørte kun fra én.
Det var Bitlock der svarede forskerne at de ville få det løst, hvilket dog endnu ikke er sket her 3 måneder senere.
Smart-ting kan være bekvemme og lette opgaver i dagligdagen, men som forskerne demonstrerede på DEF CON, så kan de også udgøre en risiko hvis fabrikanten sløser med sikkerheden, som her i software og den trådløse kommunikation.