Zero
Google Project Zero team sono volti familiari, a caccia di vulnerabilità e bug, ma un buco di sicurezza nel gigante tecnologico della propria sicurezza fisica di rete potrebbe avere lasciato loro, così come gli altri dipendenti, bloccato al di fuori dell’ufficio.
Fortunatamente per Google, tuttavia, il modo per aggirare il sistema di sicurezza che ha mantenuto non autorizzato ai visitatori di Sunnyvale uffici è stato trovato da uno dei suoi ingegneri, piuttosto che di un individuo senza purezza di intenzioni.
David Tomaschik, un ingegnere di Google, ha deciso di esplorare i messaggi cifrati che sono stati inviati attraverso la rete in azienda dalla Software House dispositivi; iStar Ultra e IP-ACM di essere alcuni dei prodotti in offerta, progettato per migliorare la sicurezza fisica di Google uffici.
Parlando di Forbes, l’ingegnere ha detto che dopo sondare i messaggi e scoprire che non erano randomizzati, anche lui imbattuto in un hardcoded chiave di crittografia utilizzato da tutte le Software House dispositivi.
Con questa chiave in mano, Tomaschik stato in grado di replicare la chiave e dirottare il sistema di sicurezza, costringendolo ad aprire e chiudere, a seconda della sua volontà.
Anche quando dotate di RFID-based chiave che sono necessari per entrare nel locale, le porte non presentare al legittimo visitatori o dipendenti di Google — se egli non vuole.
Vedi anche: utility di Windows utilizzato da malware nel nuovo furto di informazioni e campagne
L’ingegnere testato le sue scoperte e inviato predisposto, il codice maligno su Google reti. Le luci alla sua porta, ha confermato i risultati girando rosso al verde, e il blocco è stato anche completamente sotto il suo controllo.
Tomaschik descritto le sue scoperte al DEF CON 26 IoT villaggio all’inizio di questo mese.
La vulnerabilità, tracciati come CVE-2017-17704, impatti tavole del Software House prodotti. Queste schede di comunicare con basati sulla tecnologia RFID, lettori di badge, ma il bug significa che il fisso AES tasti può essere compromessa, e non c’è l’autenticazione dei messaggi oltre l’uso della chiave di crittografia.
“A un utente malintenzionato di accedere alla rete è possibile sbloccare le porte, senza generare alcuna voce del registro di sblocco porta. Un utente malintenzionato può anche impedire il legittimo sblocco,” l’avviso di sicurezza, dice. “Le organizzazioni che utilizzano questi dispositivi devono garantire che la rete utilizzata per IP-ACM di iStar Ultra comunicazioni non accessibili ai potenziali aggressori.”
Il team di Google consiglia di Software House intraprendere un “pieno whitebox di valutazione della sicurezza di questa applicazione,” in quanto è “probabile” altre vulnerabilità di sicurezza esiste nella gamma di prodotti.
TechRepublic: Foto: 10 anni di Google Chrome
Un altro problema scoperto l’ingegnere è che il firmware più vecchi Software House non dispone di memoria sufficiente per far fronte con il firmware modifiche.
Come risultato, la società non sarà l’applicazione di patch di protezione per l’hardware attuale e solo i nuovi sistemi saranno protetti contro lo sfruttamento.
TLS può essere utilizzato per facilitare la comunicazione e risolvere i problemi di sicurezza, ma anche questo pone un problema: come questo avrebbe bisogno di hardware e sistema di revisioni al fisico i siti che utilizzano il vecchio Software House prodotti.
Google dice che non vi è alcuna prova cyberattackers tentato di sfruttare la vulnerabilità. Inoltre, l’azienda ha separato la sua rete per prevenire i difetti che incidono la protezione della proprietà utilizzando ancora vulnerabile gamma di prodotti.
Un portavoce della Software House proprietario di Johnson Controls ha detto la pubblicazione che “il tema è stato affrontato con i nostri clienti.” Tuttavia, considerando i limiti del firmware del vecchio hardware che impedisce un fix, affrontare il problema sembra solo di applicare per le nuove schede.
CNET: Google rilascia AI tool per identificare bambino abusi sessuali online
Google è stata una fortuna che era un cappello bianco ingegnere sotto il suo ombrello che ha reso i risultati. Indietro nel 2017, LockState non fu così fortunato, dopo un imperfetto aggiornamento software sinistra innumerevoli clienti di smart door lock sistema di sicurezza non recuperabili e bloccato al di fuori della loro proprietà.
Precedente e relativa copertura
Wireshark correzioni gravi falle di sicurezza che possono mandare in crash il sistema tramite DoS Soddisfare ransomware che indossa il volto dell’ex presidente Barack Obama Ex Inter exec carica con l’insider trading dopo la protezione fratelli da perdita finanziaria
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0