Співробітник Google Девід Томашик виявив уразливість в системі управління автоматичними дверима свого офісу, яка дозволила йому відкривати їх без використання ключа RFID.
Фахівець з безпеки знайшов уразливість в програмному забезпеченні Software House – партнера Google, який розробив контролери безпеки для каліфорнійського підрозділу корпорації.
І ще: Google запустив новий інструмент для пошуку даних
Він вивчав зашифровані повідомлення, які відправляють пристрої Software House у внутрішню мережу пошукового гіганта – по ній передаються дані, що генеруються розумними системами його офісів і будинків. Виявилося, що повідомлення шифруються ненадійно і відправляються з певною частою. Після детального вивчення Томашик з'ясував, що ключ шифрування зашитий у пам'ять всіх пристроїв Software House, отже, його можна скопіювати і використовувати у своїх цілях. При цьому команди зловмисника будуть вважатися обладнанням "легітимними" і виконуватися без блокування джерела.
Під час експерименту фахівця вдалося відправити створений ним код у внутрішню мережу, після чого світлодіоди на закритих дверях змінили колір з червоного на зелений – двері відчинилися. Крім цього, Томашик визначив, що всі дії можна виконувати без протоколювання. Іншими словами, можна відкрити будь-яке приміщення, зробити там все, що потрібно, і вийти, і ніхто про це не дізнається. Ще один цікавий момент – роздобувши ключ, співробітник Google зміг блокувати команди, які подають його колеги, а також тримати будь-які двері зачиненими.
Після того, як співробітник сповістив про це керівництво свого офісу, було вжито заходів. Зокрема, мережу компанії сегментували таким чином, щоб злом одного сектора ніяк не впливав на працездатність інших. Крім того, протокол шифрування iStar v2 Board змінили на більш надійний. Керівництво Google вважає, що їм просто пощастило, що вразливість була виявлена зловмисниками раніше.
Наостанок зазначимо, що обладнання Software House використовують багато компаній. І найгірше те, що воно не перепрошивалося. Таким чином, для переходу на новий протокол шифрування, компанії, яка є клієнтом Software House, доведеться купувати нові системи.
Читайте також: Google планує відмовитися від URL-адрес