Foto: Leon Neal (Getty Images)
En Google-ingeniør oppdaget et sikkerhetsproblem i tredje-parti system for å kontrollere tilgang til dører over sin campus i Sunnyvale, California, og tok muligheten til å bevise at han kunne omgå RFID keycard-opererte lås i anlegget, Forbes rapportert på mandag.
Ifølge Forbes, ansatt David Tomaschik oppdaget at Programvaren Huset enheter som er koblet til Google-nettverket brukes en usikker, faste krypteringsnøkkelen, og lanserte angrep for å dokumentere konsekvensene som kan oppstå:
I fjor sommer, når Tomaschik så på den krypterte meldinger Programvaren Huset enheter (kalt iStar Ultra og IP-ACM) var sende på Google-nettverket, oppdaget han at de var ikke-tilfeldig, krypterte meldinger bør alltid se tilfeldig hvis de er ordentlig beskyttet. Han ble fengslet, og grave dypere oppdaget en “faste” krypteringsnøkkel som ble brukt ved all Programvare Hus enheter. Det betydde at han kunne effektivt kopiere nøkkelen og smi-kommandoer, slik som de ber om en dør for å låse opp. Eller han kan rett og slett spille legitimt å låse opp kommandoer, som hadde mye av den samme effekten.
Tomaschik var også i stand til å bruke sin kunnskap om sårbarhet for å hindre andre Google-medarbeidere tilgang til deler av bygningen. Verst av alt, han kan gjøre alt dette uten å etterlate noen spor:
Tomaschik også oppdaget at han kunne gjøre alt dette uten noen registrering av sine handlinger. Og han kunne hindre legitime Google-ansatte fra åpne dører. “Når jeg hadde mine funn det ble en prioritert oppgave. Det var ganske ille,” sa han til Forbes. Google deretter flyttet raskt til å hindre angrep på sine kontorer, i henhold til Tomaschik.
Google fortalte Forbes de hadde ingen bevis for at noen ondsinnede hackere hadde utnytte dette sikkerhetsproblemet, tidligere til sin oppdagelse av Tomaschik. Programvaren Huset enheter’ design har siden blitt oppdatert for å øke sikkerheten, selv om den opprinnelige enheter ikke kan bli oppdatert med noen metode for kort av en hardware erstatning på grunn av minne restriksjoner, Forbes lagt til.
Det er lett å se hvorfor dette er et spesielt grell problem—i tillegg til sikkerheten til Google-ansatte, selskapet eier Alfabetet er en av tech selskaper racing til å være verdt en billion dollar. Så dens fasiliteter er ikke akkurat den slags steder det ville være flott å ha randos freewheeling rundt. Og som Forbes bemerket, Tomaschik er opptatt av at det er bare noen få produsenter av RFID-keycard sikkerhetssystemer, noe som betyr at Programvaren Huset sårbarhet er sannsynligvis til stede i en skremmende stor andel av de som allerede er installert over hele landet.
[Forbes]