Noll
Googles Project Zero-team är bekanta ansikten i jakten på svagheter och fel, men ett säkerhetshål i den tekniska jätte egen fysiska säkerhet nätverk skulle ha lämnat dem, liksom övriga anställda, inlåst på kontoret.
Lyckligtvis för Google, dock sätt att kringgå säkerhetssystem som höll obehöriga besökare ut i Sunnyvale kontor hittades av en av sina egna ingenjörer, snarare än en individ utan rena avsikter.
David Tomaschik, en ingenjör på Google, bestämde sig för att utforska krypterade meddelanden som skickas över företagets nätverk av Programvara Hus enheter, iStar Ultra och IP-ACM är några av de produkter som erbjuds syftar till att förbättra den fysiska säkerheten för Googles kontor.
Sett till Forbes, ingenjör sade att efter att sondera meddelanden och upptäcka att de inte var randomiserad, han har också snubblat över en hårdkodad krypteringsnyckel som används av alla Software House enheter.
Med nyckeln i hand, Tomaschik kunde replikera viktiga och kapa trygghetssystem, tvinga den att öppna och låsa, beroende på hans vilja.
Även när de är utrustade med RFID-baserade nyckelkort som krävs för att gå in i lokalerna, dörrarna skulle då inte in till legitima besökare eller anställda av Google-om han inte vill ha dem.
Se även: Windows-verktyg som används av skadlig kod i ny information stöld kampanjer
Ingenjör testat sina slutsatser och skickas utformad, skadlig kod i hela Googles nätverk. Lamporna på hans dörr bekräftade resultaten genom att vrida röd till grön, och låset var också helt under sin kontroll.
Tomaschik beskrev sina resultat vid DEF CON 26 i sakernas internet byn tidigare denna månad.
Sårbarheten, spårade som CVE-2017-17704, påverkan styrelser Software House produkter. Dessa styrelser kommunicera med RFID-baserade märket läsare, men felet innebär att den fasta AES-nyckel kan äventyras, och det är ingen autentisering av meddelanden utöver användningen av krypteringsnyckel.
“En angripare med tillgång till nätverket kan låsa upp dörrar utan att generera någon logga in och dörren låses upp. En angripare kan också hindra behörig låsa upp försöken,” security advisory säger. “Organisationer som använder dessa enheter bör se till att det nät som används för IP-ACM att iStar Ultra kommunikation är inte tillgänglig för potentiella angripare.”
Google-teamet rekommenderas att Software House genomföra en “full whitebox säkerhet bedömning av denna ansökan,” som det är “sannolikt” andra sårbarheter finns i sortimentet.
TechRepublic: Foton: 10 år av Google Chrome
Ett annat problem som upptäcktes av ingenjören är att den fasta programvaran i äldre Programvara Hus enheter har inte tillräckligt med minne för att klara av firmware förändringar.
Som ett resultat, kommer företaget inte att tillämpa korrigeringar till nuvarande hårdvara och endast nya system kommer att vara skyddade mot exploatering.
TLS kan användas för att underlätta kommunikation och arbete kring säkerhetsfrågor, men också detta utgör ett problem, eftersom detta skulle behöva hårdvara och system översyn på fysiska platser som använder äldre Software House produkter.
Google säger att det finns inga bevis för cyberattackers försökt att utnyttja säkerhetsproblemet. Företaget har också separerat sitt nät för att förhindra att de brister som påverkar säkerheten i fastigheter som fortfarande använder den utsatta sortiment.
En talesman från Software House ägare Johnson Controls berättade publikation som “den frågan var ställd med våra kunder.” Med tanke på den firmware begränsningar av gammal hårdvara som hindrar att fixa, frågan verkar bara gälla nya styrelser.
CNET: Google släpper AI verktyg för att identifiera de barn som av bilder på sexuella övergrepp på nätet
Google var tur att det var en vit hatt ingenjör under sitt eget paraply som gjorde resultaten. Tillbaka i 2017, LockState var inte så lyckligt lottade, efter en felaktig programuppdatering till vänster otaliga kunder smart dörren lås säkerhet system strandsatta och låst i sina egna fastigheter.
Tidigare och relaterade täckning
Wireshark fixar allvarliga säkerhetsbrister som kan krascha system genom DoS Möta ransomware som sliter ansiktet av före detta president Barack Obama Tidigare Qualys exec debiteras med insiderhandel efter att skydda bröder från ekonomisk förlust
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0