Student hackade högteknologiskt dörrlås

På bilden återfinns ett högteknologisk dörrlås samt en mobil med en app i, som kan öppna och stänga dörren. — Marknaden för smarta elektroniska lås växer hela tiden, och KTH-professorn Pontus Johnson föreslår att man läser på innan man köper ett. OBS: Låset i bild har inte blivit granskat av KTH-studenter eller -forskare. Foto: Sebastian Scholz.

NYHET

Publicerad 2020-03-18

Marknaden för smarta lås har växt rejält de senaste åren, men säkerhetstänket runt dem har inte hängt med. Nu har en KTH-student tillsammans med forskare hackat ett elektroniskt nyckelfritt dörrlås, och hittat sårbarheter i ytterligare ett.

Glue och TTLock. Så heter de två dörrlås som Arvid Viderberg undersökte under sitt examensjobb. Till sin hjälp hade han handledaren tillika professorn Pontus Johnson och tillsammans hittade de två både mindre och större säkerhetsbrister.

TTLock hade störst problem med säkerheten. Arvid Viderberg och Pontus Johnson fann att det med så kallad brute force gick att angripa lösenordsåterställningen för användarkontot i den till låset anslutna molnservern. Antalet återställningskoder var inte tillräckligt många och det var möjligt att genomföra många gissningar på kort tid.

– Man kunde ganska snabbt gissa återställningskoden, vad den än var. Därefter gick det att byta lösenord, ta över kontot, och slutligen ta kontrollen över låset, säger Pontus Johnson, professor i nätverk och systemteknik vid KTH.

Även låset Glue hade säkerhetsbrister, då när det gäller hanteringen av gästkonton när internetåtkomst saknas. En situation då dessa konton bör vara blockerade av säkerhetsskäl.

Hur ska då en konsument tänka som vill investera i ett nytt och nyckellöst smart dörrlås?

– Om man köper ett digitalt lås så ska man helst välja en etablerad tillverkare och söka efter tidigare sårbarheter. Det är inte bra om många allvarliga brister har hittats. Det är också bra att välja ett lås där en oberoende och kompetent part redan har utfört penetrationstester utan att hitta allvarliga säkerhetsbrister, som Arvid Viderberg gjorde med Glue. Om företaget har ett så kallat bug bounty program på produkten så är det också bra. Men ovanstående är ingen garanti. Är man orolig så är det bättre att inte digitalisera styrningen av låsen, säger Pontus Johnson.

Han berättar att EU:s cybersäkerhetsmyndighet, ENISA, har som ambition att införa cybersäkerhetscertifiering av produkter och tjänster. Enligt Pontus Johnso vore det bra för konsumenter om detta blir av.

Text: Peter Ardell

För mer information, kontakta Pontus Johnson på 08 - 790 68 25 / pontusj@kth.se eller Arvid Viderberg på arvidvi@kth.se.

Faktaruta

Hackandet av dörrlåsen gjordes under 2019. Arvid Viderberg och Pontus Johnson har följt industristandarden för ansvarsfullt avslöjande, kallad "Responsible disclosure". Detta innebär att duon meddelat tillverkarna, givit dem 90 dagar och erbjudit sin hjälp att rätta till felet. Först därefter har de publicerat nedanstående rapport för allmänheten.
Glue har åtgärdat säkerhetsbristen medan TTlock inte gjort något, i alla fall inte under tiden Arvid Viderberg och Pontus Johnson hade kontakt med företaget.
Sårbarheterna är rapporterade till den officiella sårbarhetsdatabasen NVD som sköts av Mitre på uppdrag av den amerikanska staten.
Här hittar du Arvid Viderbergs exjobbsrapport . Examensjobbet har utförts hos Subset AB, ett företag som arbetar med it-säkerhet och systemutveckling.

Nyhetsarkiv

Om du vill använda den här nyhetsartikeln i andra sammanhang, kontakta redaktion@kth.se .
Mer om upphovsrätt på kth.se .

Medborgarråd ger politiker vägledning

Nu ska folket få tycka till i klimatfrågan. Ett nybildat nationellt medborgarråd, med KTH-professor Sverker Sörlin som mentor, ska komma med inspel till klimatpolitiken. Sörlin hoppas på nya idéer för hur minskningen av utsläpp kan gå till i praktiken.

– Ett medborgarråd kan ge politiker vägledning och kanske betrygga dem om att väljare inte flyr bara för att ett parti har en offensiv klimatpolitik, säger han.

Folket säger sitt i klimatfrågan

”Väldigt motiverade studenter här”

Studenter som klarar tekniskt basår med godkänt har en plats reserverad i något av KTH:s ingenjörsprogram. Kurserna liknar gymnasiets men med något högre nivå på tentorna. Här berättar kemiläraren Sara Sebelius mer om utbildningen, goda studieförutsättningar på KTH Flemingsberg, och delar med sig av sina bästa pluggtips.

– Lägger du ned 40 timmar/vecka och går på lektionerna brukar det oftast gå vägen, säger hon.

Hon banar väg för ingenjörsdrömmarna

Kvinna framför solpaneler — Beatriz Pérez Horno ska tillsammans med partners föreslå en infrastruktur för cirkularitet av solpaneler.

Så ska vi undvika ett sopberg av solpaneler

Intresset för att installera solpaneler har formligen exploderat de senaste åren. Men ännu finns ingen plan på hur vi ska återvinna dem, vilket gör att vi om ett par decennier riskerar ett sopberg av ...

Läs artikeln

Mats Danielsson framför kamera för medicinsk avbildning — KTH-professor och forskningsledare Mats Danielsson gläds över ERC-anslag på nära 39 miljoner kronor till grundforskning som kan öka effektiviteten av molekylär medicinsk avbildning. ”Systemet vi skapar kan ge molekylära bilder med högre känslighet och upplösning än någonsin tidigare.”

Prestigefulla miljoner till KTH-forskning för molekylär medicinsk avbildning

KTH-professor Mats Danielssons forskarteam tilldelas anslaget ERC Advanced Grant på drygt 38,7 miljoner kronor, till ett femårigt projekt som kan revolutionera sjukhustekniken för PET och SPECT, så ka...

Läs artikeln

foto på KTH:s campusområde — Inom ämnesområdet Engineering & Technology rankas KTH på 7:e plats i EU och 1:e plats i Sverige.

KTH klättrar på etablerad rankinglista

KTH rankas nu bland de 100 främsta universiteten i världen inom teknik och naturvetenskap, enligt den senaste QS ämnesranking 2024. KTH rankas på 37:e plats inom ämnesområdet Engineering & Technology ...

Läs artikeln

Senaste nytt från KTH

Så ska vi undvika ett sopberg av solpaneler
12 apr 2024
Prestigefulla miljoner till KTH-forskning för molekylär medicinsk avbildning
11 apr 2024
KTH klättrar på etablerad rankinglista
10 apr 2024
Miljoner till matematikforskning
9 apr 2024
Medicinteknik ger mer rörelse i livet
9 apr 2024
Industrirobotar sadlar om till kirurger
9 apr 2024
Artiga robotar – en möjlig framtid inom vården
9 apr 2024
Hälsosam grönska – en rättvisefråga
9 apr 2024
Verktyget som hjälper företag i arbetet mot belastningsskador
9 apr 2024
Osynligt andningsskydd minskar risken för luftburen virusöverföring
9 apr 2024

Fler nyheter