Hvis en smart lås er på din juleliste i år, er det bedst at give KeyWe Smart Lock en glip på grund af en designfejl, som det ser ud til ikke kan løses.
Som The Register rapporterer, har cybersikkerhedsfirmaet F-Secure opdaget, at KeyWe Smart Lock, der i øjeblikket sælger for $ 155 på Amazon, kan omgås på grund af "ukorrekt designet kommunikationsprotokoller." Værst end det er dog, at denne designfejl ikke kan løses på grund af den smarte lås, der ikke har nogen måde at tillade, at der anvendes en sikkerhedsrettelse.
KeyWe-låsen tillader adgang via en traditionel tast, et tastatur eller via en KeyWe-app på din telefon.
AES-kryptering, der bruges til at sikre kommunikationslinket til din telefon, er 128-bit, men F-Secure-bestemte meddelelser sendt over den krypterede kanal var kun afhængige af to faktorer for sikkerhed: en fælles nøgle til at starte nøgleudvekslingen og appen / låsen nøgleberegningsproces.
At overvinde begge disse faktorer er ifølge F-Secure "trivielt." Den fælles nøgle oprettes "baseret på enhedens Bluetooth MAC-adresse tilgængelig globalt", mens nøgleberegningsprocessen "kan hentes fra mobilapplikationen." F-Secure mener, at en ondsindet angriber kan opfange og få adgang til låsen fra en rækkevidde på op til 15 meter væk.
Der er ingen måde at afbøde denne designfejl lige nu, og det synes usandsynligt, at det vil være, hvis KeyWe Smart Lock ikke kan patches.
F-Secures råd til alle, der bruger låsen, er at parre en mobil enhed med den og holde den mobile enhed "så langt fra enheden som muligt og kun bruge en fysisk nøgle / touchpad."
Anbefalet af vores redaktører
Hvis en smart lås er på din juleliste i år, er det bedst at give KeyWe Smart Lock en glip på grund af en designfejl, som det ser ud til ikke kan løses.
Som The Register rapporterer, har cybersikkerhedsfirmaet F-Secure opdaget, at KeyWe Smart Lock, der i øjeblikket sælger for $ 155 på Amazon, kan omgås på grund af "ukorrekt designet kommunikationsprotokoller." Værst end det er dog, at denne designfejl ikke kan løses på grund af den smarte lås, der ikke har nogen måde at tillade, at der anvendes en sikkerhedsrettelse.
KeyWe-låsen tillader adgang via en traditionel tast, et tastatur eller via en KeyWe-app på din telefon.
AES-kryptering, der bruges til at sikre kommunikationslinket til din telefon, er 128-bit, men F-Secure-bestemte meddelelser sendt over den krypterede kanal var kun afhængige af to faktorer for sikkerhed: en fælles nøgle til at starte nøgleudvekslingen og appen / låsen nøgleberegningsproces.
At overvinde begge disse faktorer er ifølge F-Secure "trivielt." Den fælles nøgle oprettes "baseret på enhedens Bluetooth MAC-adresse tilgængelig globalt", mens nøgleberegningsprocessen "kan hentes fra mobilapplikationen." F-Secure mener, at en ondsindet angriber kan opfange og få adgang til låsen fra en rækkevidde på op til 15 meter væk.
Der er ingen måde at afbøde denne designfejl lige nu, og det synes usandsynligt, at det vil være, hvis KeyWe Smart Lock ikke kan patches.
F-Secures råd til alle, der bruger låsen, er at parre en mobil enhed med den og holde den mobile enhed "så langt fra enheden som muligt og kun bruge en fysisk nøgle / touchpad."
Anbefalet af vores redaktører
