Foto: Leon Neal (Getty Images)
Ein Google-Ingenieur entdeckte eine Verwundbarkeit in der Dritten-Parteien-system der Zugangskontrolle für Türen über Ihren campus in Sunnyvale, Kalifornien, und nutzte die Gelegenheit, um zu beweisen, dass konnte er umgehen, RFID-keycard-betrieben Sperre in der Anlage, Forbes berichtet am Montag.
Laut Forbes, Mitarbeiter David Tomaschik entdeckt, dass Software-Haus Geräte, die an das Google-Netzwerk verwendet, eine unsichere, hardcoded Verschlüsselungsschlüssel, und startete den Angriff zu beweisen, der Konsequenzen, die entstehen könnten:
Letzten Sommer, wenn Tomaschik schaute auf die verschlüsselten Nachrichten, die Software-Haus-Geräte (genannt iStar Ultra und IP-ACM) senden über das Google-Netzwerk, entdeckte er, Sie waren nicht zufällig, verschlüsselte Nachrichten sollten immer schauen, random, wenn Sie richtig geschützt. Er war fasziniert und tiefer Graben entdeckt eine “hardcoded” Verschlüsselungsschlüssel verwendet wurde, die von allen Software-Haus-Geräte. Das bedeutete, er konnte effektiv replizieren die Schlüssel-und Schmiede-Befehle, wie diejenigen bitten, die Tür zu entriegeln. Oder er könnte einfach replay legitime entsperren Befehle, die hatte viel die gleiche Wirkung.
Tomaschik war auch in der Lage, mit seinem wissen über die Verwundbarkeit zu behindern, andere Google-Mitarbeitern Zugang zu teilen des Gebäudes. Das Schlimmste ist, er könnte all dies tun, ohne jede Spur:
Tomaschik auch entdeckt, er konnte all das tun, ohne irgendwelche Aufzeichnungen über seine Handlungen. Und er konnte verhindern, dass legitime Google-Mitarbeiter öffnen Türen. “Einmal hatte ich meine Ergebnisse es wurde eine Priorität. Es war ziemlich schlimm”, sagte er Forbes. Google wechselte dann schnell, um zu verhindern, dass Angriffe auf Ihre Büros, nach Tomaschik.
Google sagte Forbes, Sie hatten keinen Beweis, dass irgendwelche bösartigen Hacker hatten die Sicherheitsanfälligkeit ausnutzt, die zuvor zu seiner Entdeckung durch Tomaschik. Das Software-Haus-Geräte-design hat seit aktualisiert wurde, um die Sicherheit zu erhöhen, obwohl die original-Geräte können nicht aktualisiert werden, durch jede Methode, die einen hardware-Austausch aufgrund Speicher Einschränkungen, Forbes Hinzugefügt.
Es ist leicht zu sehen, warum dies ist ein besonders krasses Problem—neben der Sicherheit der Google-Mitarbeiter, Eigentümer der Firma Alphabet ist einer der tech-Unternehmen-racing-Wert von einer Billion US-Dollar. So seine Einrichtungen sind nicht genau die Art von stellen, es wäre toll zu haben randos Freilauf herum. Und wie Forbes festgestellt, Tomaschik ist besorgt, dass es gibt nur wenige Hersteller von RFID-keycard security systems, was bedeutet, dass das Software-Haus Sicherheitsanfälligkeit wird wahrscheinlich in eine alarmierende Prozentsatz derjenigen, die bereits installiert über das Land.
[Forbes]