Student hackade högteknologiskt dörrlås

Marknaden för smarta elektroniska lås växer hela tiden, och KTH-professorn Pontus Johnson föreslår att man läser på innan man köper ett. OBS: Låset i bild har inte blivit granskat av KTH-studenter eller -forskare. Foto: Sebastian Scholz.

NYHET

Publicerad 2020-03-18

Marknaden för smarta lås har växt rejält de senaste åren, men säkerhetstänket runt dem har inte hängt med. Nu har en KTH-student tillsammans med forskare hackat ett elektroniskt nyckelfritt dörrlås, och hittat sårbarheter i ytterligare ett.

Glue och TTLock. Så heter de två dörrlås som Arvid Viderberg undersökte under sitt examensjobb. Till sin hjälp hade han handledaren tillika professorn Pontus Johnson och tillsammans hittade de två både mindre och större säkerhetsbrister.

TTLock hade störst problem med säkerheten. Arvid Viderberg och Pontus Johnson fann att det med så kallad brute force gick att angripa lösenordsåterställningen för användarkontot i den till låset anslutna molnservern. Antalet återställningskoder var inte tillräckligt många och det var möjligt att genomföra många gissningar på kort tid.

– Man kunde ganska snabbt gissa återställningskoden, vad den än var. Därefter gick det att byta lösenord, ta över kontot, och slutligen ta kontrollen över låset, säger Pontus Johnson, professor i nätverk och systemteknik vid KTH.

Även låset Glue hade säkerhetsbrister, då när det gäller hanteringen av gästkonton när internetåtkomst saknas. En situation då dessa konton bör vara blockerade av säkerhetsskäl.

Hur ska då en konsument tänka som vill investera i ett nytt och nyckellöst smart dörrlås?

– Om man köper ett digitalt lås så ska man helst välja en etablerad tillverkare och söka efter tidigare sårbarheter. Det är inte bra om många allvarliga brister har hittats. Det är också bra att välja ett lås där en oberoende och kompetent part redan har utfört penetrationstester utan att hitta allvarliga säkerhetsbrister, som Arvid Viderberg gjorde med Glue. Om företaget har ett så kallat bug bounty program på produkten så är det också bra. Men ovanstående är ingen garanti. Är man orolig så är det bättre att inte digitalisera styrningen av låsen, säger Pontus Johnson.

Han berättar att EU:s cybersäkerhetsmyndighet, ENISA, har som ambition att införa cybersäkerhetscertifiering av produkter och tjänster. Enligt Pontus Johnso vore det bra för konsumenter om detta blir av.

Text: Peter Ardell

För mer information, kontakta Pontus Johnson på 08 - 790 68 25 / pontusj@kth.se eller Arvid Viderberg på arvidvi@kth.se.

Faktaruta

  • Hackandet av dörrlåsen gjordes under 2019. Arvid Viderberg och Pontus Johnson har följt industristandarden för ansvarsfullt avslöjande, kallad "Responsible disclosure". Detta innebär att duon meddelat tillverkarna, givit dem 90 dagar och erbjudit sin hjälp att rätta till felet. Först därefter har de publicerat nedanstående rapport för allmänheten.
  • Glue har åtgärdat säkerhetsbristen medan TTlock inte gjort något, i alla fall inte under tiden Arvid Viderberg och Pontus Johnson hade kontakt med företaget.
  • Sårbarheterna är rapporterade till den officiella sårbarhetsdatabasen NVD som sköts av Mitre på uppdrag av den amerikanska staten.
  • Här hittar du Arvid Viderbergs exjobbsrapport . Examensjobbet har utförts hos Subset AB, ett företag som arbetar med it-säkerhet och systemutveckling.