Photo: Leon Neal (Getty Images)
Un ingénieur de Google a découvert une vulnérabilité dans la troisième partie du système de contrôle d’accès aux portes de l’ensemble de son campus à Sunnyvale, en Californie, et a profité de l’occasion pour prouver qu’il ne pouvait ignorer tout RFID tag-exploité de verrouillage dans l’établissement, Forbes a rapporté lundi.
Selon Forbes, employé David Tomaschik découvert que le Logiciel Maison de périphériques connectés au réseau de Google utilisé un non sécurisés, codé en dur de la clé de cryptage, et lança l’attaque de prouver les conséquences qui pourraient en découler:
L’été dernier, lorsque Tomaschik regardé les messages cryptés la Maison de Software périphériques (appelé iStar Ultra et IP-ACM) ont envoyé à travers le réseau Google, il a découvert qu’ils étaient des non-aléatoire; des messages cryptés faut toujours regarder hasard si ils sont correctement protégés. Il a été intrigué et creuser plus profond découvert une “codé en dur” de la clé de cryptage a été utilisé par tous les Logiciels de la Maison des appareils. De ce fait, il pourrait effectivement reproduire la clé de la forge et des commandes, comme celles qui demandent une porte pour la déverrouiller. Ou il pourrait simplement repasser légitime déverrouillage des commandes, qui avait le même effet.
Tomaschik était également capable d’utiliser ses connaissances sur la vulnérabilité à empêcher les autres de Google attachés accès à certaines parties de l’édifice. Le pire de tout, il pourrait faire tout cela sans laisser de trace:
Tomaschik également découvert qu’il pouvait faire tout cela sans aucune trace de ses actions. Et il ne pouvait empêcher légitime les employés de Google à partir de l’ouverture des portes. “Une fois que j’ai eu mes résultats, est devenu une priorité. Il était assez mauvais,” il a dit Forbes. Google, puis déplacé rapidement pour prévenir les attaques sur les ses bureaux, selon Tomaschik.
Google a déclaré Forbes, ils n’avaient aucune preuve que des pirates informatiques avaient exploité la vulnérabilité précédemment à sa découverte par Tomaschik. Le Logiciel Maison de dispositifs de conception a depuis été mis à jour pour augmenter la sécurité, bien que l’original appareils ne peuvent pas être mis à jour par n’importe quelle méthode courte d’un matériel de remplacement en raison de restrictions de mémoire, Forbes ajouté.
Il est facile de voir pourquoi ce qui est particulièrement flagrant problème—en plus de la sécurité des employés de Google, le propriétaire de la société de l’Alphabet est l’une des entreprises de haute technologie de course pour être la peine d’un billion de dollars. De sorte que ses installations ne sont pas exactement le genre d’endroits qu’il serait génial d’avoir des randos en roue libre autour. Et que Forbes a noté, Tomaschik est préoccupé de ce qu’il y a seulement quelques fabricants de RFID tag systèmes de sécurité, ce qui signifie que le Logiciel Maison de la vulnérabilité est probablement présent dans une proportion alarmante de pourcentage de ceux qui sont déjà installés dans le pays.
[Forbes]