Foto: Leon Neal (Getty Images)
Een Google-ingenieur, ontdekte een lek in het systeem van derden beheren van de toegang tot deuren over de campus in Sunnyvale, Californië, en nam de kans om te bewijzen dat hij kon overslaan RFID-keycard-aangedreven slot in de faciliteit, Forbes meldde op maandag.
Volgens Forbes, medewerker David Tomaschik ontdekte dat de Software House apparaten die zijn aangesloten op het Google-netwerk gebruikt een onveilige, vaste encryptie sleutel, en lanceerde de aanval op het aantonen van de gevolgen die kunnen ontstaan:
Afgelopen zomer, toen Tomaschik keek naar de gecodeerde berichten van de Software House apparaten (de zogenaamde ishtar Ultra en IP-ACM) verzenden in het Google netwerk, hij ontdekt dat ze niet willekeurig; gecodeerde berichten moet altijd kijken random als ze goed beschermd zijn. Hij was geïntrigeerd en dieper graven ontdekt dat er een “vaste” encryptie sleutel werd gebruikt door alle Software House apparaten. Dat betekende dat hij daadwerkelijk kon repliceren van de toets en de smederij opdrachten, zoals het vragen van een deur te ontgrendelen. Of hij kon gewoon replay legitieme het ontsluiten van commando ‘ s, die had veel hetzelfde effect.
Tomaschik was ook in staat om met zijn kennis van de kwetsbaarheid in de weg te staan voor andere Google-stafleden’ de toegang tot delen van het gebouw. Het ergste van alles, hij kon dit alles doen zonder sporen achter te laten:
Tomaschik ook ontdekte hij kon dit allemaal te doen zonder een verslag van zijn acties. En hij kon voorkomen dat legitieme Google-medewerkers van het openen van deuren. “Een keer had ik mijn bevindingen werd een prioriteit. Het was vrij slecht,” zei hij tegen Forbes. Google dan snel verplaatst om te voorkomen dat aanvallen op haar kantoren, volgens Tomaschik.
Google vertelde Forbes ze hadden geen bewijs dat een kwaadwillende hacker had benut de kwetsbaarheid eerder tot de ontdekking ervan door Tomaschik. Het Software House apparaten’ design is sindsdien vernieuwd om de veiligheid te vergroten, maar het oorspronkelijke apparaten kunnen niet worden bijgewerkt elke methode kort voor de vervanging van hardware omdat de geheugen beperkingen, Forbes toegevoegd.
Het is gemakkelijk te zien waarom dit een bijzonder opvallende probleem—in aanvulling op de veiligheid van Google-medewerkers, is het bedrijf eigenaar van het Alfabet is een van de tech bedrijven racing waarde van een triljoen dollar. Zo zijn de faciliteiten niet precies het soort van plaatsen, het zou geweldig zijn om randos freewheelen rond. En als Forbes opgemerkt, Tomaschik is bezorgd dat zijn er maar een paar fabrikanten van RFID keycard beveiliging systemen, wat betekent dat de Software Huis kwetsbaarheid is waarschijnlijk aanwezig in een alarmerend percentage van degenen die reeds geïnstalleerd in het hele land.
[Forbes]