Hotline: 094.320.0088

tuvan@athena.edu.vn

Hotline

Lỗ hổng cho phép tin tặc mở khoá cửa của smart home

https://www.vietsunshine.com.vn/wp-content/uploads/2019/12/L%E1%BB%97-h%E1%BB%95ng-cho-ph%C3%A9p-tin-t%E1%BA%B7c-m%E1%BB%9F-kho%C3%A1-c%E1%BB%ADa-c%E1%BB%A7a-smart-home.jpg

Lỗ hổng trong KeyWe Smart Locks có thể bị kẻ tấn công khai thác để chặn liên lạc để đánh cắp chìa khóa và mở khóa cửa.

Một ngôi nhà thông minh là một ngôi nhà dễ bị tấn công. Nó được hoàn thiện với các thiết bị IoT được kết nối với nhau, nhiều thiết bị có lỗ hổng riêng hoặc chưa biết và được kết nối với internet bằng bộ định tuyến có thể có mật khẩu mặc định ban đầu, không thay đổi. Đôi khi kết nối thông qua một ứng dụng điện thoại di động, thường mang tới nhiều điểm yếu hơn nữa.

Ở giai đoạn này trong sự phát triển của nhà thông minh, chúng có một đặc điểm khác: chúng gần như theo định nghĩa là nơi ở của những người giàu có. Điều này làm cho ngôi nhà thông minh trở thành mục tiêu của tội phạm mạng và – có khả năng – là mục tiêu cho những kẻ trộm thông thường có hiểu biết về mạng.

Phát hiện mới nhất của F-Secure về một lỗ hổng thiết kế trong khóa thông minh minh họa cho những nguy hiểm. Sản phẩm là KeyWe Smart Lock, một thiết bị điều khiển từ xa chủ yếu được sử dụng trong nhà riêng. Người dùng có thể mở và đóng cửa thông qua một ứng dụng trên điện thoại di động của họ.

Lỗ hổng không nằm ở khóa, mà là ở giao tiếp giữa ứng dụng và khóa. Bản thân khóa này khá mạnh, bao gồm mã hóa dữ liệu để ngăn các bên trái phép truy cập thông tin quan trọng của hệ thống, chẳng hạn như cụm mật khẩu bí mật (secret passphrase). Giao tiếp giữa khóa và ứng dụng điều khiển không an toàn. Nó sử dụng Bluetooth Low Energy qua WiFi và mặc dù được mã hóa bề ngoài, nhưng có một lỗ hổng trong thiết kế của nó: khóa chung (common key) không thay đổi giữa các lần thực thi, nhưng nó thay đổi theo địa chỉ thiết bị.

“Đây là một sai lầm nghiêm trọng!” Krzysztof Marciniak của F-Secure Consulting viết trong một blog liên quan. “Khi trao đổi khóa nội bộ được sử dụng – chỉ với hai giá trị liên quan – để giải mã tất cả thông tin liên lạc, người ta chỉ cần chặn đường truyền. Khóa chung có thể được tính toán dễ dàng dựa trên địa chỉ thiết bị. “

Ông nói, “Thật không may, thiết kế của khóa giúp cho việc bỏ qua các cơ chế để nghe lén các tin nhắn được trao đổi bởi khóa và ứng dụng khá dễ dàng cho những kẻ tấn công – để nó mở cho một cuộc tấn công tương đối đơn giản. Không có cách nào để giảm thiểu điều này, vì vậy việc truy cập vào các ngôi nhà được bảo vệ bởi khóa là khá dễ dàng. Tất cả những kẻ tấn công cần là một bí quyết nhỏ, một thiết bị giúp chúng nắm bắt lưu lượng – có thể được mua từ nhiều cửa hàng điện tử tiêu dùng với giá chỉ 10 đô la – và một chút thời gian để tìm chủ sở hữu khóa.”

Một thiết bị ‘đánh hơi’ (sniffing device) có thể được giấu gần cửa chờ đợi sự trở lại của chủ nhà. Lệnh được ứng dụng truyền đến khóa có thể bị bắt và giải mã, và kẻ tấn công có thể vào tòa nhà vào lần tới khi nó bị bỏ trống – hoặc có khả năng tệ hơn, vào ban đêm khi bạn đang ngủ.

Ở cấp độ cá nhân, ngôi nhà thông minh có thể xem như là một hộp trang sức thực sự hoặc ẩn dụ của các vật có giá trị. Ở cấp độ công ty, chủ nhà thông minh có khả năng là một giám đốc điều hành cấp cao quen với việc làm việc tại nhà trên máy tính với một số hình thức kết nối với ít nhất một phần của mạng doanh nghiệp. Kẻ tấn công hiện có quyền truy cập vật lý vào thiết bị này.

“Bảo mật không phải là một kích thước phù hợp với tất cả,” Marciniak giải thích. “Nó cần được điều chỉnh để phù hợp cho người dùng, môi trường, mô hình mối đe dọa, v.v. Làm điều này không dễ, nếu các nhà cung cấp thiết bị IoT cung cấp các sản phẩm không thể nhận được cập nhật, thì điều quan trọng là phải xây dựng các thiết bị này để bảo mật ngay từ đầu.”

F-Secure đã báo cáo vấn đề này với nhà cung cấp. “Thật không may,” Marciniak viết, “không có chức năng nâng cấp firmware nào được đưa vào và do đó vấn đề sẽ tồn tại cho đến khi thiết bị được thay thế. Theo nhà cung cấp, các thiết bị mới sẽ chứa bản sửa lỗi bảo mật. Hơn nữa, phiên bản khóa tiếp theo sẽ có chức năng nâng cấp firmware – mặc dù không có thông tin nào liên quan đến ngày phát hành.”

Bảo mật theo thiết kế là một nguyên tắc chưa được áp dụng bởi tất cả các nhà sản xuất thiết bị thông minh. Trong trường hợp này, bảo mật đã được thiết kế vào khóa, nhưng không phải vào môi trường mà nó được sử dụng.

Các mối đe dọa liên quan đến nhà thông minh sẽ tiếp tục tăng trong năm 2020 và xa hơn nữa.

Nguồn vietsunshine

Bài viết liên quan:

TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG & AN NINH MẠNG QUỐC TẾ ATHENA

Công ty TNHH Một Thành Viên Tư vấn và Đào tạo Á THE NA

Mã số thuế: 0306174155

Địa chỉ đăng ký kinh doanh: 92 Nguyễn Đình Chiểu, Phường Đa Kao, Quận 1, TP. Hồ Chí Minh.

Giấy chứng nhận đăng ký kinh doanh số 0306174155 do Sở Kế hoạch và Đầu tư Thành phố Hồ Chí Minh cấp ngày 04/11/2008

VỀ ATHENA

Giới thiệu –>
Chính sách bảo mật thông tin khách hàng –>
Hướng dẫn mua khóa học tại Athena –>
Quy trình thi và nhận chứng chỉ –>
Chính sách hoàn tiền tại Athena –>
Hướng dẫn học trực tuyến tại Athena –>

CHI NHÁNH

Chi nhánh Hà Nội: 45 Nguyễn Trãi, Thanh Xuân, , Hà Nội.
Chi nhánh Thủ Đức: Trung Tâm Công Nghệ- Làng Đại Học Quốc Gia Tp HCM
Chi nhánh Bến Tre: Trung tâm Công nghệ thông tin và Truyền thông Bến Tre Xem bản đồ
Chi nhánh Nghệ An: 176 Nguyễn Du, Tp Vinh,Nghệ An
Chi Nhánh Nha Trang: Văn phòng Hội Tin học tỉnh Khánh Hòa Xem bản đồ
Chi Nhánh Cần Thơ: Trung Tâm Công Nghệ Phần Mềm Cần Thơ – CSP Xem bản đồ
  Hotline : 09432000 88 – 094 9080077

Facebook Youtube Tiktok Linkedin

Khóa học

Khai giảng

zalo-logo

Chat với Athena

Đăng ký học