Foto: Leon Neal (Getty Images)
En Google-ingeniør opdaget en sårbarhed i den tredje-parts system, der kontrollerer adgang til døre i hele sin campus i Sunnyvale, Californien, og benyttede lejligheden til at bevise, at han kunne omgå nogen RFID-nøglekort, der drives lås i anlægget, Forbes rapporterede mandag.
Ifølge Forbes, medarbejder David Tomaschik opdagede, at Software-Hus enheder, der er tilsluttet Google ‘ s netværk bruges en usikker forbindelse, hardcodede krypteringsnøgle, og lanceret et angreb for at bevise, at de konsekvenser, der kan opstå:
Sidste sommer, da Tomaschik kiggede på de krypterede beskeder Software-Hus-enheder (kaldes iStar Ultra og IP-ACM) var at sende hele Google-netværket, opdagede han, at de var ikke-tilfældig, krypterede meddelelser bør altid virke tilfældig, hvis de er ordentligt beskyttet. Han var fascineret og grave dybere opdagede en “hardcoded” krypteringsnøgle, der blev brugt af alle Software-Hus enheder. Det betød, at han kunne effektivt kopiere nøglen og skabe kommandoer, såsom dem, der spørger en dør for at låse op. Eller han kunne simpelthen replay legitime oplåsning af kommandoer, som havde stort set den samme effekt.
Tomaschik var også i stand til at bruge sin viden om sårbarhed til at hindre andre Google-medarbejdere har adgang til dele af bygningen. Værst af alt, han kunne gøre alt dette uden at efterlade nogen spor:
Tomaschik også opdagede, at han kunne gøre alt dette uden nogen registrering af hans handlinger. Og han kunne forhindre lovlig Google-medarbejdere fra åbne døre. “Når jeg havde mine resultater, blev det til en prioritet. Det var ret slemt,” sagde han til Forbes. Google derefter flyttede hurtigt til at forhindre angreb på sine kontorer i henhold til Tomaschik.
Google fortalte Forbes havde de ingen beviser for, at nogen ondsindede hackere havde udnyttet sårbarhed tidligere til sin opdagelse af Tomaschik. Software-Hus enheder’ design-siden er blevet opdateret for at øge sikkerheden, selv om de oprindelige enheder kan opdateres med enhver metode, kort af et hardware udskiftning på grund af hukommelse begrænsninger, Forbes tilføjet.
Det er nemt at se, hvorfor dette er et særligt grelt problem—ud over den sikkerhed, Google-medarbejdere, virksomhedens ejer Alfabet er en af tech virksomheder racing at være værd en billion dollars. Så dens faciliteter er ikke ligefrem den slags steder, det ville være fantastisk at have randos fritløbende rundt. Og som Forbes bemærkes, Tomaschik er bekymret over, at der kun er et par producenter af RFID-nøglekort sikringsordninger, hvilket betyder, at Software-Hus sårbarhed er sandsynligvis til stede i et alarmerende procentdel af dem, der allerede er installeret på tværs af landet.
[Forbes]