Nul
Google ‘s Project Zero team er kendte ansigter i jagten på sårbarheder og fejl, men et sikkerheds hul i tech giant’ s egen fysiske sikkerhed-netværk kunne have efterladt dem, såvel som andre medarbejdere, låst ude af kontoret.
Heldigvis for Google, men den måde at omgå den sikkerhed, som holdt uautoriseret besøgende ud af Sunnyvale kontorer blev fundet af en af sine egne ingeniører, snarere end en person uden rene hensigter.
David Tomaschik, der er ingeniør hos Google, besluttede at udforske krypterede meddelelser, der blev sendt på tværs af virksomhedens netværk af Software Hus enheder; iStar Ultra og IP-ACM at være nogle af de produkter, der er designet til at forbedre den fysiske sikkerhed af Google ‘ s kontorer.
Tale til Forbes, ingeniøren sagde, at efter sondering af beskeder og opdage, at de ikke var randomiseret, han også faldt over en hardcodede krypteringsnøgle, som anvendes af alle Software-Hus enheder.
Med denne nøgle i hånden, Tomaschik var i stand til at gengive de vigtigste og kapre den sikkerhed, som tvinger det til at åbne og låse, afhængigt af hans vilje.
Selv når der er udstyret med RFID-baseret keycards, der er nødvendig for at indtaste lokaler, døre, så ville ikke sende legitime besøgende eller Google-medarbejdere-hvis han ikke vil have dem til.
Se også: Windows-værktøj, der bruges af malware i nye oplysninger tyveri kampagner
Ingeniør afprøvet sine resultater og sendt udformet, ondsindet kode på tværs af Google ‘ s netværk. Lysene på hans kontor bekræftede resultaterne ved at dreje rød til grøn, og låsen var også helt under hans kontrol.
Tomaschik beskrevet sine resultater på DEF CON 26 i tingenes internet landsby tidligere i denne måned.
Den sårbarhed, der spores som CVE-2017-17704, påvirker bestyrelser af Software House-produkter. Disse bestyrelser kommunikere med RFID-baseret badge læsere, men fejlen betyder, at de faste AES-nøgler kan være kompromitteret, og der er ingen godkendelse af beskeder uden brug af krypteringsnøglen.
“En hacker med adgang til nettet kan låse dørene, uden at generere nogen log ind af døren låse op. En hacker kan også forhindre lovlig låse forsøg,” security advisory siger. “Organisationer, der bruger disse enheder skal sikre, at netværket anvendes til IP-ACM at iStar Ultra kommunikation er ikke tilgængelig for potentielle angribere.”
Google-teamet anbefales, at Software-Hus gennemføre en “fuld whitebox sikkerhed vurdering af dette program,” som det er “sandsynligt”, andre sikkerhedshuller findes i produktsortimentet.
TechRepublic: Fotos: 10 år af Google Chrome
Et andet problem afdækket af ingeniør er, at den firmware i ældre Software-Hus enheder, der ikke har nok hukommelse til at klare firmware ændringer.
Som et resultat, vil selskabet ikke anvende sikkerhedsrettelser til nuværende hardware og kun nye systemer vil være beskyttet mod udnyttelse.
TLS kunne bruges til at lette kommunikationen og løse de sikkerhedsproblemer, men også dette udgør et problem, — da dette vil være nødvendigt hardware og system eftersyn på fysiske steder, der bruger ældre Software-Hus-produkter.
Google siger, at der er ingen beviser for, cyberattackers forsøgte at udnytte sårbarheden. Virksomheden har også adskilt sit netværk til at forhindre de fejl, der påvirker sikkerheden af ejendomme, der stadig bruger sårbare sortiment.
En talsmand fra Software-Hus ejer Johnson Controls fortalte offentliggørelse, at “spørgsmålet blev taget op med vores kunder.” Men i betragtning af firmware begrænsninger af gammel hardware, som forhindrer en rettelse, som behandler spørgsmålet synes kun at gælde for nye bestyrelser.
CNET: Google frigiver AI værktøj til at identificere seksuelt misbrug af billeder online
Google var heldig, at det var en hvid hat ingeniør i henhold til sin egen paraply, der gjorde resultater. Tilbage i 2017, LockState var ikke så heldig, for efter en fejlbehæftet software opdatering venstre utallige kunder med smart door lock sikkerhed system strandet og låst ude af deres egne ejendomme.
Tidligere og relaterede dækning
Wireshark løser alvorlige sikkerhedshuller, der kan gå ned systemer via DoS Møde ransomware, som bærer lyset af den tidligere præsident Barack Obama Tidligere Qualys exec sigtet for insiderhandel efter at beskytte brødre fra finansielle tab
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0