Einfach zu knackende Bluetooth-Schlösser noch immer Sicherheitsrisiko

    30. Dezember 2016, 10:22
    13 Postings

    Ein Lockpicker demonstrierte auf dem Hackerkongress 33C3 wie Schlösser überlistet

    Bluetooth-Schlösser, die sich mit dem Smartphone aufsperren lassen, sollen mehr Komfort und Zusatzfunktionen bieten. Doch was die Schlösser "smart" macht, macht sie oft auch unsicher. Sicherheitsforscher verweisen immer wieder darauf, wie einfach viele Modelle zu knacken sind – so auch wieder auf dem diesjährigen Chaos Communication Congress.

    Mechanische Schwachstellen

    Der deutsche Lockpicker Ray demonstrierte in Hamburg Schwachstellen von drei neueren Schlössern. Teilweise sind es fehlerhaft implementierte Software-Komponenten, teilweise aber auch mechanische Schwachstellen bei billigen Vorhängeschlössern, die sie angreifbar machen. So konnte der Lockpicker Modelle von Dog&Bone und Master Lock mit einem dünnen Blech bzw. einem Magneten problemlos aufknacken, berichtet "Heise".

    Beim Schloss von Noke war ein solcher Angriff ("Shimming" genannt) nicht möglich. Hier nahm Ray die App genauer unter die Lupe. Gemeinsam mit Kollegen schaffte er es nach zwei Tagen die Kommunikation zwischen Bluetooth-Schloss, App und Cloud-Dienst zu entschlüsseln. Die dafür benötigten Komponenten zum Abhören der Kommunikation sind unkompliziert und günstig zu erwerben.

    Gäste können sich permanenten Zugang verschaffen

    Um die Schlösser knacken zu können, benötigt man direkten Zugang dazu. Das Bluetooth-Schloss von Noke bietet über Cloud-Anbindung die Möglichkeit verschiedenen Personen temporäre Zutrittsrechte einzuräumen. In dieser Zeit könnten sie den Schlüssel auslesen und sich dauerhaften Zugang verschaffen. Denkbar ist so ein Szenario etwa bei Ferienwohnungen oder Airbnb-Domizilen, zu denen man laufend verschiedenen, fremden Personen Zugangsrechte erteilt.

    Noke will im Jänner ein Update veröffentlichen, das die dafür verantwortliche Schwachstelle beseitigt. Bekannt ist sie laut dem Bericht allerdings schon seit April. Ray rät Herstellern, ihre Schlösser von unabhängigen Sicherheitsexperten analysieren zu lassen, um derartige Schwachstellen frühzeitig zu entdecken und zu beheben. (red, 30.12.2016)

    Share if you care.