Vstop v zaščitene prostore kar z android aplikacijo

Slo-Tech - Varnostni inženir Michael Gough (splet, LinkedIn, Twitter), sicer dobro znan po napadih na VoIP sisteme, je v YouTube posnetku predstavil napad na RFID sistem kontrole pristopa znanega ponudnika HID Global. S preprostim android programom Caribou sodelavca Iana Robertsona sta uspešno odklenila več vrat v stanovanjskem naselju, za katera bi bila sicer potrebna kartica z RFID čipom.

Podrobnosti exploita še niso objavljene, ker naj bi v skladu z white hat filozofijo Gough in Robinskon najprej želela proizvajalcu dati čas za odpravo napake. Potem naj bi bile na voljo, da bi obstoječi uporabniki sistema lahko sami preverili varnost svojih sistemov.

Sodeč po dostopnih podatkih naj bil nadzorni sistem je s kartičnimi čitalci povezan kar po nešifriranem IP omrežju. Raziskovalca sta z opazovanjem prometa dognala IP naslov nadzornega sistema, reverzno zinženirala protokol in nato napisala svoj klient v obliki Android aplikacije. Aplikacija naj bi se preprosto povezala na nadzorni sistem, izvedla pozdrav (handshake), poslala PIN, poiskala vsa zaklenjena vrata v bližini, ter poprostila za odklep. Po tridesetih sekundah naj bi jih zaklenila nazaj.

Edini varnostni element, PIN, naj bi se pošiljal kar v surovi obliki (in the clear) in bi ga bilo mogoče dobiti s skeniranjem prometa, ali ga preprosto uganiti po brute force metodi.

Slovenski partner omenjenega podjetja je, že od leta 2007 naprej, vsem dobro znana Špica International.