一家安全研究公司声称,在政府大楼和公寓大楼使用的门禁安全系统中发现了一个可能“轻易”被利用的漏洞,但该漏洞无法修补。该公司就此漏洞发出了警告。
据挪威安全公司 Promon 称,该漏洞存在于 Aiphone GT 的几款机型中,这些机型使用了非接触式信用卡中常见的 NFC 技术。该漏洞使恶意行为者能够通过暴力破解门禁系统的安全代码来访问敏感设施。
门禁系统为建筑物和住宅区提供安全入口。然而,它们对数字技术的依赖性越来越强,因此更容易受到直接和间接的篡改。
另请阅读: 2022 年顶级电子学习趋势
爱峰客户受到威胁
根据公司宣传手册,Aiphone 将白宫和英国议会列为受感染系统的客户。
Promon 安全研究员 Cameron Lowell Palmer 表示,潜在入侵者可以使用支持 NFC 的移动设备快速循环所有可能的四位数“管理员”代码组合,以保护每个 Aiphone GT 门系统。Palmer 在代表 Promon 进行研究后发表了这一声明。Palmer 表示,循环使用门禁系统使用的 10,000 个潜在四位数代码中的每一个只需几分钟。这是因为系统不限制尝试代码的次数。此代码可以输入到系统的键盘中或传输到 NFC 标签,从而使恶意行为者无需触摸设备即可访问受限制区域。
在 TechCrunch 发布的一段视频中,帕尔默演示了他如何构建概念验证型 Android 应用。该软件允许他验证测试实验室中易受攻击的 Aiphone 门禁系统上的每个四位数代码。帕尔默表示,受影响的 Aiphone 变体不会保存日志,这使得恶意用户可以绕过系统的安全措施而不留下任何数字痕迹。
2021 年 6 月下旬,帕尔默向爱峰通报了该安全漏洞。爱峰已告知这家安保公司,2021 年 12 月 7 日之前生产的系统存在漏洞,无法更新。然而,爱峰告诉这家安保公司,在此日期之后生产的系统有一个软件修复程序,可以限制开门的次数。
Aiphone 系统存在多个缺陷
Promon 发现 Aiphone 系统中存在多个漏洞,因此这只是众多漏洞之一。Promon 还表示,它发现用于设置门禁系统的应用程序提供了一个未加密的纯文本文件,其中包含系统后端门户的管理员代码。Promon 表示,这也可能使入侵者能够访问进入限制区域所需的信息。
在文章发表之前提出的回应请求尚未得到 Aiphone 代表 Brad Kemcheff 的回应。
CBORD 是一家为医院和大学校园提供门禁和支付系统的科技公司。今年早些时候,一名身为安全研究员的大学生发现 CBORD 开发的一款广泛使用的门禁系统存在漏洞。该漏洞被称为“万能钥匙”。在这位研究员向 CBORD 报告了这个问题后,该公司迅速修复了该漏洞。
特色图片: NFC 技术
订阅 Whitepapers.online,了解科技巨头对健康、营销、商业和其他领域产生影响的最新更新和变化。此外,如果您喜欢我们的内容,请在 Facebook、WhatsApp、Twitter 等社交媒体平台上分享。