FAAL VAN DE WEEK: HANGSLOT BEWEERT BESCHERMING TE BIEDENIedereen die op de hoogte is van IoT-beveiliging zal waarschijnlijk geen fysieke beveiligingsproducten kopen die een soort draadloze bediening hebben. De exploits voor dergelijke apparaten is veel te lang en lijkt op een treurige verklaring over beveiliging, wat meer een bijzaak lijkt. Het is dus begrijpelijk dat u denkt dat een Bluetooth-slot het best kan worden aangevallen via de draadloze functie. Wat blijkt, de Master 5440D Bluetooth sleutelkluis kan in een paar minuten met alleen een schroevendraaier worden verslagen. De sleutelkluis is het type dat een makelaar of AirBnB gastheer zou gebruiken om toegang te verlenen tot de sleutels van een woning. Bosnianbill begon aan een inspectie van de kluis van €100, op zoek naar zwakke punten. Toen fysieke aanvallen met een hamer en het bedotten van de solenoïden met een magneet niets opleverden, besloot hij de veerkrachtige behuizing te verwijderen die Master zo attent had aangebracht om te voorkomen dat de doos de afwerking van een deur of poort zou beschadigen. Het ontzielde apparaat onthulde zo zijn verschrikkelijke geheim: twee kruiskopschroeven waarmee een vergrendelingssysteem aan de deksel is bevestigd. Als die eenmaal los zijn gedraaid, is een beetje wrikken met een schroevendraaier alles wat nodig is om de sleutels van het huis te pakken te krijgen.
In een vervolgvideo die later werd geplaatst, bekeek Bill een andere sleutelkluis van dichtbij en ontdekte dat Masterlock een slappe poging had gedaan om dit zwakke punt te verhelpen met een scheut epoxy in elke schroefkop. Het is zwak, op zijn best, omdat een tik met een hamer de smurrie genoeg samenperst om grip op de schroef te krijgen. We dachten echt dat Bosnianbill’s aanval elektronisch zou zijn. Wie had gedacht dat een schroevendraaier de beste manier zou zijn om langs het draadloze systeem te komen? |
Veelgestelde vragen
Hoe kan een Bluetooth-slot met een schroevendraaier worden geopend?▼
De Master 5440D sleutelkluis kan in enkele minuten worden geopend door de rubberen beschermende behuizing te verwijderen en de twee kruiskopschroeven los te draaien. Dit geeft direct toegang tot het vergrendelingssysteem.
Wat is de beveiligingsfaal van de Master 5440D?▼
Het hangslot beweert Bluetooth-beveiliging te bieden, maar kan fysiek in enkele minuten met simpele gereedschap worden overwonnen. De sterkte van het slot ligt dus niet in de draadloze technologie maar in de fysieke constructie.
Waarom is IoT-beveiliging bij hangsloten problematisch?▼
IoT-beveiligingsproducten met draadloze bediening hebben lange exploithistorieën. Bij hangsloten blijkt dat aanvallers echter gemakkelijk fysieke zwakke punten kunnen benutten in plaats van de draadloze functies aan te vallen.
Hoe probeerde Masterlock het zwakke schroefpunt te verhelpen?▼
In een vervolgvideo toonde Bosnianbill dat Masterlock een epoxy-laag in de schroefkoppen had aangebracht. Dit is echter zeer zwak, omdat een hamertik de epoxy samenperts en grip op de schroef mogelijk maakt.
Voor welke doeleinden werd de Master 5440D sleutelkluis gebruikt?▼
Dit type sleutelkluis wordt door makelaars en AirBnB-gastheren gebruikt om huissleutels veilig op te bergen en gasten of klanten temporary toegang te geven tot een woning.
