Anzeige

Lock

Vor kurzem wurde in der IoT U-Tec UltraLoq-Serie digtaler Schlösser eine schwerwiegende Sicherheitslücke aufgedeckt. Die Schwachstelle erlaubt es einem Hacker private und geografische Daten und Informationen von jedem beliebigen Nutzer eines solchen Produktes abzuziehen. 

Craig Young, Senior Security Researcher beim Tripwire Vulnerability and Exposure Research Team (VERT), hat die kritische Schwachstelle identifiziert und in einer Analyse ausführlich unter die Lupe genommen. So kann laut Young ein anonymer Hacker zusätzlich Daten zur Benutzeridentifikation von jedem gerade aktiven U-Tec Kunden einsammeln. Dazu zählen E-Mail-Daten, IP-Adressen und drahtlose MAC-Adressen. Diese Daten reichen bereits aus, um eine bestimmte Person zweifelsfrei zu identifizieren einschließlich ihrer privaten Adresse. 

Dank der Fehlkonfiguration eines Dienstes innerhalb der betreffenden Systeme gelang es dem Sicherheitsforscher auf sensible Daten wie E-Mail- und MAC-Adressen zuzugreifen. Damit aber nicht genug. Es gelang Young mit diesen Informationen auch auf Zeitstempel zuzugreifen. Sie enthalten Informationen, wann die Schlösser geöffnet oder geschlossen werden. 

Weitere Tests haben ergeben, dass es für potenzielle Angreifer ein leichtes ist riesige Mengen von Token zu stehlen und freizuschalten, allein auf Basis der MAC-Adresse.

Seit Aufdeckung der Schwachstelle arbeiten Craig Young und Tripwire mit dem Hersteller zusammmen, um das Problem zu beheben und neue Sicherheitskontrollen einzuziehen. 

Die komplette Analyse sollte hier verfügbar sein. 

www.tripwire.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Bug
Aug 03, 2020

Kostenlose Bug-Bounty-Self-Hosting-Lösung für Hacker

YesWeHack startet mit „Pwning Machine“ eine Docker-basierte Umgebung, die ethischen…

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!