Opmerking: het volgende artikel zal u helpen: Hackers gebruiken Smart Lock Hack voor diefstal van vingerafdrukken: onderzoekers
Volgens een recent onderzoek zouden slimme consumentensloten gemakkelijk kunnen worden misbruikt om hackers in staat te stellen de vingerafdrukken van gerichte consumenten te verkrijgen. In dit verband publiceerde James Cook University Singapore een onderzoek waarin wordt beschreven hoe een aanvaller gewone hardware en bepaalde hackvaardigheden kan gebruiken om in het geheim vingerafdrukken te verzamelen met behulp van een slimme lock-hacktechniek genaamd Drop Lock.
Volgens expert en senior cybersecurity-instructeur Steven Kerrison ligt het probleem in de hardwarebeperkingen van IoT-slimme sloten. In tegenstelling tot smartphones en tablets, die vingerafdrukinformatie en andere biometrische gegevens opslaan in gecodeerde hardware-enclaves, hebben low-end IoT-apparaten zoals commerciële slimme sloten geen speciale veilige opslag.
Hackers gebruiken Smart Lock-hack voor diefstal van vingerafdrukken: onderzoekers
Kerrison legt in het rapport uit: “Deze apparaten bevatten vaak minder krachtige CPU’s en goedkopere sensoren en bieden niet hetzelfde beveiligingsniveau als een smartphone.” Meestal wordt dit als acceptabel beschouwd op basis van de waarde van het product of waarvoor de sensor bedoeld is. te beschermen bekeken.
Om de kwetsbaarheid aan te tonen, heeft Kerrison een proof-of-concept-apparaat gebouwd dat via Wi-Fi verbinding kan maken met een slim slot en een aanval of een toegankelijke debug-interface kan gebruiken om de software van het slot aan te passen zodat vingerafdrukgegevens worden verzameld en verzonden. Als alternatief kan het slot uit elkaar worden gehaald en rechtstreeks op de controller worden aangesloten met behulp van ingebouwde debugging-pads. Het is in ieder geval in staat vingerafdrukgegevens te leveren die voor andere biometrische apparaten kunnen worden gebruikt.
Verwijzend naar de bevindingen van TechTarget Editorial merkte Kerrison op dat elke echte aanval waarschijnlijk gedurende een bepaalde periode tegen een gepland doelwit zou worden uitgevoerd, in tegenstelling tot een willekeurige massale verzameling van inloggegevens.
Om vingerafdrukken te kunnen verzamelen terwijl het slot is geactiveerd, moet de aanvaller zich in de buurt van het slot bevinden, bijvoorbeeld binnen Bluetooth-bereik. Zodra de printgegevens zijn vastgelegd, kunnen deze mogelijk worden gebruikt om toegang te krijgen tot andere apparaten met strengere beveiligingsmaatregelen.
Terwijl hij een verklaring gaf, zei Kerrison:
Om de vingerafdruk betrouwbaar te kunnen verzenden, moet de aanvaller tijdens de aanval een ontvangstapparaat zeer dicht bij het slot hebben – slechts een paar meter – dus de aanval moet doelgerichter zijn dan bijvoorbeeld het rondslingeren van USB-sticks. zodat mensen ze kunnen gebruiken om malware op een netwerk te brengen. Dit betekent dat een levensvatbare aanval gericht zou zijn op een specifiek slachtoffer of een groep slachtoffers en niet willekeurig zou zijn, en dat de middelen die toegankelijk zijn met biometrie die moeite waard zouden moeten zijn.
Uitchecken? Regelgevingskader voor SRD- en IoT-diensten Gepubliceerd door de PTA
