Ett säkerhetsforskningsföretag påstår sig ha hittat ett fel som "lätt" kan utnyttjas i ett säkerhetssystem för dörringångar som används i statliga byggnader och lägenhetskomplex, men felet kan inte åtgärdas. Företaget utfärdar en varning om felet.
Enligt det norska säkerhetsföretaget Promon finns felet i flera modeller av Aiphone GT som använder den NFC-teknik som är vanligt förekommande i kontaktlösa kreditkort. Denna brist gör det möjligt för illvilliga aktörer att få tillgång till känsliga anläggningar genom att brutalt forcera säkerhetskoden för dörrentrésystemet.
Dörrsystem ger säkra entréer till byggnader och bostadskomplex. Ändå gör deras växande beroende av digital teknik dem mer mottagliga för direkta och indirekta manipuleringsformer.
Läs också: De bästa trenderna för e-lärande under 2022
Aiphone-kunder hotas
Enligt företagsbroschyrer utnämner Aiphone både Vita huset och Storbritanniens parlament som kunder till de komprometterade systemen.
Promon-säkerhetsforskaren Cameron Lowell Palmer sa att en tänkbar inkräktare kunde använda en NFC-kompatibel mobil enhet för att snabbt gå igenom alla möjliga kombinationer av en fyrsiffrig "admin"-kod för att säkra varje Aiphone GT-dörrsystem. Palmer gjorde detta uttalande efter att ha forskat på uppdrag av Promon. Palmer sa att det bara tar några minuter att gå igenom var och en av de 10 000 potentiella fyrsiffriga koder som används av dörrentrésystemet. Detta beror på att systemet inte begränsar antalet gånger en kod kan försökas. Denna kod kan matas in i systemets knappsats eller överföras till en NFC-tagg, vilket gör det möjligt för illvilliga aktörer att komma åt begränsade regioner utan att behöva röra enheten.
Palmer visade hur han konstruerade en proof-of-concept Android-app i en video publicerad med TechCrunch. Programvaran gjorde det möjligt för honom att verifiera varje fyrsiffrig kod på ett Aiphone-dörringångssystem som var mottagligt i hans testlabb. Palmer sa att de drabbade varianterna av Aiphone inte sparar loggar, vilket gör det möjligt för illvilliga användare att kringgå systemets säkerhet utan att lämna ett digitalt spår.
Under senare hälften av juni 2021 informerade Palmer Aiphone om säkerhetsbristen. Aiphone har informerat säkerhetsföretaget om att system tillverkade före 7 december 2021 är sårbara och inte kan uppdateras. Aiphone har dock berättat för säkerhetsföretaget att system tillverkade efter detta datum har en mjukvarufix som begränsar antalet gånger en dörr öppnas.
Flera brister i Aiphone-systemet
Promon hittade mer än ett fel i Aiphone-systemet; därför är den här en av många. Promon sa också att den hade funnit att applikationen som användes för att konfigurera dörrentrésystemet tillhandahåller en fil i klartext som inte är krypterad och inkluderar administratörskoden för systemets back-end-portal. Promon säger att detta också kan ge inkräktare tillgång till den information som krävs för att komma in i begränsade regioner.
Förfrågningar om svar som lades in innan artikeln publicerades besvarades inte av Aiphone-representanten, Brad Kemcheff.
CBORD är ett teknikföretag som tillhandahåller åtkomstkontroll och betalningssystem till sjukhus och universitetsområden. Tidigare i år hittade en universitetsstudent som också var säkerhetsforskare en sårbarhet i ett mycket använt dörringångssystem byggt av CBORD. Sårbarheten kallades en "huvudnyckel". Efter att forskaren uppmärksammat CBORD på problemet rättade företaget omedelbart till felet.
Utvald bild: NFC-teknik
Prenumerera på Whitepapers.online för att lära dig om nya uppdateringar och förändringar gjorda av teknikjättar som påverkar hälsa, marknadsföring, affärer och andra områden. Om du gillar vårt innehåll, vänligen dela på sociala medieplattformar som Facebook, WhatsApp, Twitter och mer.