Forscher hackten U-Tech Smart Locks aus der Ferne; Keine anderen Marken betroffen

Last updated 31. März 2022

U-Tec

Sie haben vielleicht gesehen, dass Forscher einen Hack entdeckt haben, um Smart Locks mit nur einer Mac-Adresse zu öffnen. Die gute Nachricht ist, dass nur eine Smart-Lock-Marke, U-Tec, das Problem hatte. Und noch besser, es ist gepatcht. Aktualisieren Sie Ihre Smart Locks jetzt, wenn Sie ein UltraLoq Smart Lock besitzen.

Kürzlich entdeckten Forscher, dass sie mit einigen relativ einfachen (wenn auch technischen) Tools U-Tech UltraLoq Smart Locks mit nur einer MAC-Adresse aus der Ferne entsperren konnten. Es war nicht schwierig, alle Informationen zum Hacken der Tür zu erhalten, da das Schloss selbst die Daten sendete. Zum Glück hat das Unternehmen bereits eine Lösung implementiert.

Intelligente Schlösser sind eine praktische Ergänzung für Ihr Zuhause und können Ihnen bei der Sicherheit helfen. Zusätzlich zum Entriegeln und Verriegeln Ihres Hauses aus der Ferne oder ohne einen Schlüssel herauszuholen, können Sie Timer und Routinen aktivieren, um sicherzustellen, dass die Tür verschlossen ist, wenn Sie gehen oder über Nacht. Aber das Hinzufügen eines Radios zu einem beliebigen Gesicht Ihres Hauses führt letztendlich zu einer Schwachstelle.

Bei intelligenten Schlössern ist das ein vernachlässigbares Risiko, da alle Schlösser bereits anfällig für Lockpicking sind. Wie immer wieder auf YouTube demonstriert, ist es wahrscheinlich einfacher und billiger, Schlösser zu knacken, als zu lernen, IoT-Geräte zu hacken.

Das lässt intelligente Schließfächer jedoch nicht vom Haken, alle sicherheitsorientierten Geräte, wie ein Schloss, sollten in jeder Hinsicht sicher sein. Unglücklicherweise für U-Tec, das das intelligente UltraLoq-Schloss herstellt, entdeckten die Forscher von Tripwire einige klaffende Lücken in der Sicherheit des Unternehmens. Die Forscher suchten nach MQTT-Schwachstellen und fanden einige im UltraLoq-Setup.

MQTT ist ein System, das viele IOT-Hersteller verwenden, um Nachrichten zwischen Geräten zu übertragen. Tripwire-Forscher verwenden Thermostate und HLK-Systeme als Beispiel. MQTT ermöglicht es den Thermostaten in verschiedenen Räumen, Temperaturinformationen über den Raum zu übertragen, und das HLK-System kann sich „anmelden” und entsprechend reagieren.

Im Fall von UltraLoq Smart Locks wird dieses System zwischen dem Smart Lock und einer mit Bluetooth gekoppelten Wi-Fi-Bridge verwendet. Dies ist ein Standardsystem, das in Smart Locks verwendet wird, um Remote-Funktionen hinzuzufügen und gleichzeitig das Schloss klein und kompakt zu halten.

Nach einiger Suche entdeckten die Forscher, dass UltraLocs Informationen ins Internet sendete, die E-Mail-Adressen und andere Daten enthielten. Ein genauerer Blick auf das Schloss ergab eine Methode, um die Mac-Adresse, IP-Adresse und mehr des Schlosses zu kratzen. Das sind genug Informationen, um Personen zu identifizieren und sogar eine Tür aus der Ferne zu öffnen.

Die gute Nachricht ist, dass Tripwire das Problem verantwortungsvoll an U-Tec weitergegeben und viele Details zu dem Problem preisgegeben hat. Zunächst lösten die Patches von U-Tec das Problem nicht, aber Tripwire lieferte weiterhin Feedback. Schließlich hat U-Tec es richtig gemacht, und jetzt gibt Tripwire die Informationen öffentlich bekannt.

Jedes Smart-Home-Gerät, das Sie in Ihr Zuhause einführen, ist eine neue Quelle für Schwachstellen. Das ist etwas, das Sie im Hinterkopf behalten sollten, wenn Sie erwägen, etwas mit dem Internet verbundenes in Ihrem Haus hinzuzufügen. Aber verantwortungsbewusste Hersteller patchen entdeckte Schwachstellen. Wenn Sie also Smart-Home-Geräte haben, ist es das Wichtigste, sie auf dem neuesten Stand zu halten.

Quelle: Tripwire

Aufnahmequelle: www.reviewgeek.com