I ricercatori hanno violato a distanza le serrature intelligenti U-Tech; Nessun altro marchio interessato

Last updated Apr 13, 2022

U-Tec

Potresti aver visto che i ricercatori hanno scoperto un trucco per aprire le serrature intelligenti con un solo indirizzo Mac. La buona notizia è che solo un marchio di lucchetti intelligenti, U-Tec, ha avuto il problema. E ancora meglio, è rattoppato. Aggiorna ora le tue serrature intelligenti se possiedi una serratura intelligente UltraLoq.

Di recente, i ricercatori hanno scoperto che con alcuni strumenti relativamente semplici (sebbene tecnici), potrebbero sbloccare da remoto i lucchetti intelligenti U-Tech UltraLoq con un solo indirizzo MAC. Ottenere tutte le informazioni per hackerare la porta non è stato difficile, perché la serratura stessa trasmetteva i dati. Per fortuna l’azienda ha già implementato una correzione.

Le serrature intelligenti sono una comoda aggiunta alla tua casa e possono aiutarti con la sicurezza. Oltre a sbloccare e bloccare la tua casa da remoto o senza estrarre una chiave, puoi attivare timer e routine per assicurarti che la porta sia bloccata quando esci o durante la notte. Ma aggiungere una radio a qualsiasi faccia della tua casa alla fine introduce una vulnerabilità.

Nel caso delle serrature intelligenti, questo è un rischio trascurabile, poiché tutte le serrature sono già vulnerabili allo scasso. Come dimostrato più e più volte su YouTube, è probabilmente più facile ed economico imparare a scassinare le serrature piuttosto che imparare ad hackerare i dispositivi IOT.

Tuttavia, ciò non toglie nulla agli armadietti intelligenti, qualsiasi dispositivo incentrato sulla sicurezza, come un lucchetto, dovrebbe essere sicuro in ogni modo possibile. Sfortunatamente per U-Tec, che produce la serratura intelligente UltraLoq, i ricercatori di Tripwire hanno scoperto alcune lacune nella sicurezza dell’azienda. I ricercatori hanno cercato le vulnerabilità MQTT e ne hanno trovate alcune nella configurazione di UltraLoq.

MQTT è un sistema utilizzato da molti produttori di IOT per trasmettere messaggi tra dispositivi. I ricercatori di Tripwire utilizzano termostati e sistemi HVAC come esempio. MQTT consente ai termostati in stanze diverse di trasmettere informazioni sulla temperatura della stanza e al sistema HVAC di "abbonarsi" e reagire in modo appropriato.

Nel caso delle serrature intelligenti UltraLoq, quel sistema è in uso tra la serratura intelligente e un bridge Wi-Fi accoppiato Bluetooth. Questo è un sistema standard utilizzato nelle serrature intelligenti per aggiungere funzionalità remote mantenendo la serratura piccola e compatta.

Con alcune ricerche, i ricercatori hanno scoperto UltraLocs che trasmette informazioni su Internet contenenti indirizzi e-mail e altri dati. Uno sguardo più da vicino al lucchetto ha prodotto un metodo per raschiare l’indirizzo Mac, l’indirizzo IP e altro ancora del lucchetto. Sono informazioni sufficienti per identificare le persone e persino sbloccare una porta da remoto.

La buona notizia è che Tripwire ha responsabilmente rivelato il problema a U-Tec e ha fornito molti dettagli sul problema. All’inizio, le patch di U-Tec non risolvevano il problema, ma Tripwire continuava a fornire feedback. Alla fine, U-Tec ha capito bene e ora Tripwire sta divulgando pubblicamente le informazioni.

Ogni dispositivo per la casa intelligente che introduci nella tua casa è una nuova fonte di vulnerabilità. È qualcosa da tenere a mente se stai pensando di aggiungere qualcosa connesso a Internet nella tua casa. Ma i produttori responsabili correggeranno le vulnerabilità scoperte, quindi se hai dispositivi domestici intelligenti, la cosa più importante da fare è tenerli aggiornati.

Fonte: Tripwire

Fonte di registrazione: www.reviewgeek.com