Systemy domofonowe, pozwalające na dostęp z wykorzystaniem kart zbliżeniowych, często wybierane są ze względu na oferowaną wygodę użycia. Dotyczy to również montowania ich w budynkach rządowych czy kompleksach mieszkaniowych. Okazuje się, że wraz z wygodą mogą iść luki w oprogramowaniu, które znacząco zmniejszają poziom bezpieczeństwa.
Poważna luka znaleziona w systemach domofonowych
Wielokrotnie mogliśmy już przekonać się, że nowoczesne rozwiązania, które w założeniach mają być wygodne, a także bezpieczne, mogą zapewnić przestępcom nowe metody łamania zabezpieczeń i docelowo umożliwić chociażby kradzież samochodu czy włamanie się do domu.
Naukowcy z norweskiej firmy Promon, specjalizującej się w bezpieczeństwie, znaleźli błąd w urządzeniach Aiphone GT, które wyposażone są w moduł NFC, zazwyczaj wykorzystywany w przypadku kart zbliżeniowych, zapewniających dostęp do wybranego obszaru czy budynku.
Warto tutaj zauważyć, że systemy domofonowe Aiphone GT wykorzystywane są budynkach rządowych i kompleksach mieszkalnych. Co więcej, odkrytej luki nie można po prostu usunąć za pomocą aktualizacji oprogramowania lub innej metody, która byłaby łatwa w zastosowaniu. Niewykluczone więc, że konieczna będzie wymiana urządzeń na nowe, aby skutecznie pozbyć się problemu.
Jak zwraca uwagę TechCrunch, systemy Aiphone wykorzystywane są m.in. przez Biały Dom, a także parlament brytyjski. Opisywany problem, zagrażający bezpieczeństwu, może występować w przypadku wybranych zabezpieczeń drzwi w tych dwóch miejscach. Oczywiście zagrożonych może być znacznie więcej obiektów w różnych miejscach na całym świecie.
Atak przeprowadzany jest metodą siłową
W celu przeprowadzenia ataku można użyć urządzenia mobilnego wyposażonego w NFC – np. smartfona z Androidem. Potrzebna będzie również specjalna aplikacja, która do systemu domofonowego Aiphone będzie przesyłać kody dostępu.
Przeraża fakt, że urządzenia Aiphone GT, których dotyczy problem, nie mają żadnego mechanizmu, który mógłby zablokować atak. Oznacza to, że atakujący może cały czas wprowadzać 4-cyfrowe kody aż do momentu znalezienia kodu „administratora”. Owszem wszystkich kombinacji cyfr jest aż 10 tysięcy, ale za pomocą przygotowanego sprzętu sprawdzenie każdej kombinacji zajmuje tylko kilka minut. Co więcej, systemy domofonowe nie przechowują dzienników, a więc atak nie pozostawia żadnych cyfrowych śladów.
Producent urządzeń Aiphone GT w wydanym oświadczeniu informuje, że problem dotyczy sprzętu wyprodukowanego przed 7 grudnia 2021 roku. Nowsze urządzenia mają już poprawkę oprogramowania, która ogranicza liczbę prób dostępu do drzwi. Niestety, jak już wcześniej wspomniałem, starszych urządzeń nie można zaktualizować, więc konieczna będzie ich wymiana.
