Kun IoT-laitteiden määrä kasvaa kodeissa, kasvaa samaa tahti amyös potentiaalisten tietoturva-aukkojen määrä. Nyt F-Secure on osoittanut turvattomaksi Bluetoothia hyödyntävän älylukon, jota käytetään ensisijaisesti yksityisasennoissa.
F-Securen konsultit ovat havainneet helposti hyödynnettävissä olevan suunnitteluvirheen KeyWe Smart Lock -älylukossa. Lukko ei pysty vastaanottamaan laiteohjelmistopäivityksiä, mikä tarkoittaa, että vikaa ei voi korjata perusteellisesti. Tämä on hyvä esimerkki siitä, miten vaikeaa valmistajien ja kuluttajien on suojata uusia Internetiin yhteydessä olevia laitteita.
KeyWe Smart Lock on tarkoitettu ovien avaamiseen ja sulkemiseen mobiililaitteen sovelluksella. F-Secure Consulting pystyi hyödyntämään puutteellisesti suunniteltuja tietoliikenneprotokollia ja sieppaamaan lukitusta ohjaavan salaisen tunnuslauseen fyysisen laitteen ja mobiilisovelluksen vaihtaessa tietoja keskenään.
- Lukossa on useita suojausmekanismeja. Lukko on valitettavasti suunniteltu siten, että näiden mekanismien ohittaminen ja lukon ja sovelluksen välisten viestien kuunteleminen on kohtuullisen helppoa – lukon saa siis auki suhteellisen yksinkertaisella hyökkäyksellä. Ongelmaa ei voi lieventää mitenkään, joten murtovarkaat pystyvät hakkeroimaan tällä lukolla suojattuja koteja hyvin helposti, sanoo F-Securen Krzysztof Marciniak, hakkerointia kehittämässä ollut kyberturvallisuuskonsultti.
Hyökkääjä tarvitsee Marciniakin mukaan vain hieman tietotaitoa, halvan, yleisesti saatavilla olevan laitteen tietoliikenteen sieppaamiseen ja hieman aikaa lukon omistajien etsimiseen. Hyökkäys on jälleen yksi osoitus monista laitevalmistajien ja kuluttajien kohtaamista tietoturvahaasteista IoT-laitteiden vallatessa markkinoita. Erään äskettäisen arvion mukaan vuoteen 2025 mennessä Internet-yhteyden muodostaneita laitteita on 125 miljardia. IoT-laitteiden levitessä leviävät myös tietoturvaongelmat.
Lukolla on useita hyödyllisiä tietoturvaominaisuuksia, kuten kriittisten järjestelmätietojen salaus valtuuttamattomilta osapuolilta. Salainen tunnuslause (the secret passphase) on eräs tällaisista tiedoista.
F-Secure Consulting löysi kuitenkin suhteellisen helppoja tapoja kiertää järjestelmän suojauksen. Ja koska laite ei voi vastaanottaa laiteohjelmistopäivityksiä, hyökkäyksen hyödyntämää vikaa ei voida korjata. Tämä tarkoittaa, että lukkoa käyttävien on vaihdettava lukko tai otettava harkittu riski.
Marciniak suosittelee Internet-yhteyksien aiheuttamien tietoturvavaikutusten huomiointia ennen offline-tilassa toimivien laitteiden vaihtamista verkkoversioihin. Laitevalmistajille hän suosittelee tuotteiden tietoturva-arviointia osana niiden suunnittelutyötä.
Hyökkäyksen helppouden ja tehokkaiden korjauskeinojen puutteen vuoksi F-Secure Consulting on päättänyt olla ilmoittamatta hyökkäykseen tekemiseen tarvittavia tärkeitä teknisiä tietoja.