Nul
Google ‘s Project Zero team zijn bekende gezichten in de jacht op kwetsbaarheden en bugs, maar een gat in de beveiliging in de tech giant’ s eigen fysieke beveiliging van het netwerk kan hebben hen verlaten, evenals andere werknemers, worden uitgesloten van het kantoor.
Gelukkig voor Google, maar de manier te omzeilen van de beveiliging systeem welke gehouden onbevoegde bezoekers uit Sunnyvale kantoren werd gevonden door een van zijn eigen mensen, in plaats van een individuele zonder zuivere bedoelingen.
David Tomaschik, ingenieur bij Google, besloten te onderzoeken of gecodeerde berichten die werden verzonden via het kantoor netwerk Software House apparaten; ishtar Ultra en IP-ACM-het zijn enkele van de aangeboden producten ontworpen voor het verbeteren van de fysieke veiligheid van de Google-kantoren.
Spreken Forbes, de ingenieur gezegd dat na het aftasten van de berichten en ontdekken ze waren niet gerandomiseerd, ook hij struikelde over een vaste encryptie sleutel die gebruikt wordt door alle Software House apparaten.
Met deze sleutel in de hand, Tomaschik was in staat om te repliceren de sleutel en het kapen van de beveiliging van het systeem, waardoor het openen en vergrendelen, afhankelijk van zijn wil.
Zelfs wanneer deze is uitgerust met de RFID-gebaseerd keycards die nodig zijn om het terrein te betreden, de deuren zouden dan niet onderwerpen aan legitieme bezoekers of Google-medewerkers, als hij niet wilt.
Zie ook: Windows-hulpprogramma gebruikt door malware in de nieuwe informatie-diefstal campagnes
De ingenieur getest zijn bevindingen en stuurde gemaakt, kwaadaardige code in het Google-netwerken. De lampjes op zijn kantoor deur bevestigd de bevindingen door het draaien van rood naar groen, en het slot was ook volledig onder zijn controle.
Tomaschik beschreven zijn bevindingen bij DEF CON 26 in de IoT dorp eerder deze maand.
De kwetsbaarheid, bijgehouden, zoals CVE-2017-17704, van invloed op de planken van de Software producten. Deze planken communiceren met RFID-gebaseerd badgelezers, maar de bug betekent dat de vaste AES-sleutels kunnen worden aangetast, en er is geen verificatie van de berichten die langer zijn dan het gebruik van de encryptie sleutel.
“Een aanvaller met toegang tot het netwerk kunt ontgrendelen van de deuren zonder het genereren van een log boek vermelding van de deur ontgrendelen. Een aanvaller kan ook voorkomen dat legitieme ontgrendelen pogingen,” de security advisory zegt. “Organisaties met behulp van deze apparaten moet ervoor zorgen dat het netwerk gebruikt voor IP-ACM te ishtar Ultra communicatie is niet toegankelijk voor mogelijke aanvallers.”
Het Google-team aanbevolen Software Huis nemen aan een “full whitebox beoordeling van de veiligheid van deze applicatie,” zoals het is “waarschijnlijk” andere beveiligingsrisico ‘ s bestaan in het assortiment.
TechRepublic: Foto ‘ s: 10 jaar van Google Chrome
Een ander probleem ontdekt door de ingenieur is dat de firmware in oudere Software House apparaten beschikt niet over voldoende geheugen om te gaan met firmware wijzigingen.
Als gevolg hiervan kan de onderneming niet toepassen van security oplossingen voor de huidige hardware en alleen nieuwe systemen zullen worden beschermd tegen uitbuiting.
TLS kan worden gebruikt om de communicatie te vergemakkelijken en te werken rond de problemen met de beveiliging, maar ook dit vormt een probleem, als dit nodig zou zijn hardware en systeem revisie op fysieke sites die gebruik maken van oudere Software producten.
Google zegt dat er geen bewijs is cyberattackers geprobeerd misbruik te maken van het beveiligingslek. Het bedrijf heeft ook gescheiden van haar netwerk om te voorkomen dat de gebreken die van invloed zijn op de veiligheid van eigenschappen nog steeds met behulp van de kwetsbare assortiment.
Een woordvoerder van Software House eigenaar Johnson Controls vertelde de publicatie “het probleem is verholpen met onze klanten.” Echter, gezien de firmware beperkingen van de oude hardware die voorkomt dat een oplossing voor het probleem lijkt alleen te gelden voor nieuwe borden.
CNET: Google releases AI hulpmiddel bij het determineren van kindermisbruik foto ‘ s online
Google had het geluk dat het een witte hoed ingenieur onder de eigen paraplu die de bevindingen. Terug in 2017, LockState was niet zo gelukkig, na een gebrekkige software-update links talloze klanten met een smart deur op slot beveiliging systeem gestrand en vergrendeld hun eigen eigenschappen.
Vorige en aanverwante dekking
Wireshark correcties ernstige beveiligingslekken die kunnen crashen van systemen door middel van DoS Aan ransomware die draagt het gezicht van de voormalige president Barack Obama Voormalige Qualys exec belast met handel met voorkennis na het beschermen van de broers van financieel verlies
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0