Nuki nutilukul avastati 11 turvaauku, mis lubavad võõral ust avada
28. juuli 2022, 15:30
/nginx/o/2022/07/28/14723881t1h484a.jpg)
Eestiski müüdav Nuki nutilukk, mida saab nutitelefoniga avada, sisaldas vähemalt 11 turvaauku, avastasid NCC Groupi turvaeksperdid. Lisaks võõraste poolt luku avamisele sai segada ka õige nutitelefoniga luku avamist teenuse tõkestamise ründega.
2013. aastast tegutseva Austria lukufirma Nuki toodetud lukkude turvaaugud avastati NCC Groupi poolt sel kevadel, 25. juulil aga avalikustati nende täpsem sisu. Selgus, et turvatoodete uusimates versioonides tuvastatud haavatavused võivad lubada ründajatel Nuki nutilukkude võrguliiklust häirida, käivitada seadmes suvalise koodi, saata käsklusi või teha teenustõkestusrünnet ehk DoS-i. Tootja on praeguseks välja andnud turvauuenduse, mis need vead kõrvaldab.
Nuki lukkude lahendust kasutatakse palju näiteks AirBnB kaudu väljarenditavates korterites, kuhu saab rentnikule anda ajutise ligipääsu, et omaniku abita saaks ukse igal ajal lahti vaid mobiiltelefonist ja ilma füüsilise võtmeta.
Rünnata on nende turvaaukude kaudu võimalik kas lukuga samas WiFi võrgus olles, üle Bluetoothi-ühenduse või Nuki teenuseserveritest endist. Mõned turvaaugud töötavad vaid füüsilise juurdepääsuga vähemalt ühele seadmele, mis võib NCC turvaekspertide sõnul olla täiesti võimalik, sest osad seadmed on paigaldatud avalikult ligipääsetavasse kohta - näiteks koodluku puhul ust väljast avav numbriklaviatuur.
Turvaaukude üheks põhjuseks on andmesides kasutatava SSL/TLS-i sertifikaadi valideerimise puudumine nii Nuki Smart Lockil kui ka Nuki Bridge´il, mis lubabki ründajal teha vaherünnaku (nn man-in-the-middle rünnak) ja võrguliiklust pealt kuulata.
Turvaaukudest ohustatud Nuki toodete versioonid:
- Nuki Smart Lock 3.0 (<3.3.5)
- Nuki Smart Lock 2.0 (<2.12.4)
- Nuki Bridge v1 (<1.22.0)
- Nuki Bridge v2 (<2.13.2)
- Nuki Keypad (<1.9.2)
- Nuki Fob (<1.8.1)
- Nuki Opener (<1.8.1)
Allikas: NCC Group
NCC Groupi tehnilises turvavigade kirjelduses mainitakse sedagi, et kui ründajal õnnestuks juurde pääseda Nuki teenuseserveritele, saaks seda ligipääsu kasutada kõigi tootja seadmete, mis turvaveast mõjutatud, juhtimiseks.
Samuti leiti üks turvaviga Bluetoothi ühenduses, mis lubab võõral saata nutilukule kõrge prioriteediga käske.
Lisaks avastati, et füüsilise ligipääsuga seadmel on võimalik selle tarkvara muuta emaplaadi ühendusliidesest nii, et mööda pääseda tarkvaralisest kaitsest ja uks lahti teha. See turvarisk hinnati kõrgeks, kuna turvalukul on võimalik kasutada näiteks väljaspool ust asuvat numbriklaviatuuri, millele pääseb lihtsasti ligi.
Nuki lukkude tootja tõi tarkvarauuenduse nende turvaohtude kõrvaldamiseks välja juulis ja saatis mobiiliäpi kaudu teavituse tarkvarauuenduse kohta veel enne NCC Groupi poolt turvavigade avalikustamist. Kui nutiluku tarkvara on mingil põhjusel ikka veel uuendamata, tuleks see kohe ära teha, sest praeguseks on avaldatud üsna täpne kirjeldus, kuidas kõik avastatud turvaaugud töötavad.