Der er fundet en sårbarhed i dørlåsen August Smart Lock Pro + Connect
En smartlås til hoveddøren kan være praktisk. Så kan der låses op og i for hjemmet uden en fysisk nøgle, og er låsen på WiFi kan man tilmed tjekke om der nu er låst, selvom man ikke er hjemme. Det vil kunne tilknyttes alarmer, så man får besked hvis døren åbnes på et tidspunkt hvor den ikke burde.
Men som med al elektronik der åbner døre så kræver det også at det er sikkert, at ingen uvedkommende kan overtage eksempelvis styringen af låsen, eller på anden måde tiltvinge sig adgang til andet elektronik hjemmet.
Nu har eksperter fra cybersikkerhedsfirmaet Bitdefender fundet en sårbarhed i dørlåsen ‘August Smart Lock Pro + Connect’, der kan give fremmede adgang til hjemmets WiFi. Det skriver Bitdefender i en udmelding.
For at udnytte denne sårbarhed kræves en mellemmand, en der fysisk er tilstede indenfor Bluetooth rækkevidde af dørlåsen. Denne person skal være udstyret med grej der kan opsnappe Bluetooth kommunikation.
Eksperterne fandt ud af at August app, der kan benyttes til at låse hjemmet op og lukke igen, sender WiFi-kodeordet ukrypteret til dørlåsen. Så en fremmed vil på den måde kunne aflure hvilket kodeord der er til det netværk som dørlåsen er tilsluttet.
Med fuld adgang til hjemmets netværk vil en hacker kunne afsøge andre produkter med sårbarhed, lytte med på ukrypteret kommunikation eller blot benytte netværket til ulovligheder, hvor det ser ud som om det er en af hjemmets beboere der gør det.
“Med en sårbarhed som denne er det muligt for hackeren at hacke smart lock’en og få adgang til det WiFi-netværk, som den er forbundet til, hvilket giver hackeren adgang til alt, der er forbundet til WiFi-netværket”, fortæller Alex Balan, Chief Security Researcher hos Bitdefender, og fortsætter:
“Resultatet er, at de kan gøre alt, lige fra at kompromittere routeren og stjæle data fra forbundne enheder, til at streame indhold på hjemmets forbundne smart-skærme”.
Resten af informationerne, som dørlåsen og smartphonen udveksler med hinanden, er dog krypterede. Så sikkerhedseksperterne har ikke fundet nogen måde hvorved andre direkte kan få kontrol over låsen, og den vej opnå fysisk adgang til hjemmet.
Sårbarheden her er kun fundet i forbindelse med August app på Android. Yderlige oplysninger om denne sikkerhedsbrist findes her.