Aleph Research于3月7日发布的两篇博文显示,Sceiner固件中的多个漏洞允许攻击者操纵智能锁并打开门。Sceiner总部位于中国东部某市,是一家生产各种智能锁的科技公司,这些智能锁以其名义和其他品牌在全球范围内销售,Sceiner为其提供智能锁设计、固件和相关应用程序。以色列的Kontrol和Elock是销售Sceiner开发的智能锁品牌的两家公司。Aleph Research表示,由于Sceiner固件和相关应用程序中发现的问题,他们的产品容易受到攻击。智能锁中的漏洞意味着攻击者不仅可以在线访问,还可以直接开门赶往用户家里。卡耐基梅隆软件工程学院的CERT协调中心(CERT/CC)于3月7日发布了漏洞通报,并称受影响的供应商已于 2023 年 11 月收到通知,但尚未做出回应。
概述
Kontrol和Elock锁是使用Sciener提供的固件的电子锁。该固件与一个名为TTLock的应用程序协同工作,该应用程序也是由Sciener开发的。TTLock应用程序利用蓝牙连接来连接到使用Sciener固件的锁,并允许对锁进行操作。Sceiner固件锁还支持外设。同样由Sciener生产的GatewayG2允许通过TTLock应用程序通过WiFi连接到适当的锁。Sciener固件还允许无线键盘连接到支持的设备。
该智能锁具有优质的外观(以及相匹配的价格),提供许多功能(在分析研究的例子中,这些功能转化为许多攻击面):
通过智能手机应用程序(TTLock,适用于iOS和Android)进行控制。锁通过蓝牙LE (BLE) 与应用程序通信。
通过集成键盘锁定/解锁。
通过指纹识别器解锁。
使用RFID标签解锁。
通过特殊的网关设备通过互联网解锁。
通过指定按钮(位于门内侧)锁定/解锁。
多次解锁失败后发出声音报警。
此外,TTLock应用程序还提供以下(非详尽)功能列表:
向其他用户授予对锁的访问权限(虚拟钥匙)。
限制虚拟键的使用:
重复的时间范围(例如,让清洁人员进入公寓)
有限的时间范围(例如,让客人在住宿期间进入)
一次性使用(例如,让维护人员进入公寓)
记录锁的使用情况 -通过应用程序进行的每次锁定和解锁都会被记录。
锁的配置:添加指纹、RFID标签等。
分析表明,Kontrol和Elock锁容易通过Sciener固件受到攻击。TTLock App和GatewayG2中的漏洞可被进一步利用来损害相关电子锁的完整性。Elock锁容易受到Sciener固件的攻击,而Kontrol Lux锁(一种特定的锁型号)则具有独特的无线漏洞。其中许多漏洞是通过unlockKey字符造成的。当将unlockKey字符提供给适当的锁时,可用于解锁或锁定设备。
已发现的漏洞共有8个,编号为CVE-2023-7003至CVE-2023-7007、CVE-2023-7009、CVE-2023-7017 和 CVE-2023-6960)影响运行固件版本6.5.x至6.5的 Kontrol Lux设备。Gateway G2产品运行固件版本6.0.0,TTLock应用程序版本 6.4.5。
漏洞描述
这批发现的漏洞共有8个,将引发重复使用虚拟密钥,挑战暴力破解,明文消息处理,应用协议降级,网关密钥更换,无线键盘暴力破解,未经身份验证的更新和完全接管以及未受保护的调试端口这类问题。具体描述如下:
CVE-2023-7003
使用Sciener固件的锁与无线键盘之间的配对过程中使用的AES密钥不是唯一的,并且可以重复使用以危害使用Sciener固件的其他锁。该AES密钥可用于连接到任何其他支持无线键盘的Sciener锁,无需用户知情或交互。
CVE-2023-7004
TTLock应用程序未采用适当的验证程序来确保其与预期设备进行通信。威胁行为者可以利用这一点,引入一种欺骗锁的MAC地址的设备,从而破坏unlockKey值。
CVE-2023-7005
可以将特制的消息发送到TTLock应用程序,该消息会降级用于通信的加密协议,并可用于破坏锁,例如通过提供unlockKey字符。在质询请求过程中,如果消息以未加密的方式发送到锁,并且带有一组特定的信息,则包含unlockKey字符的相应消息将以未加密的方式提供。
CVE-2023-7006
使用Sciener固件的锁中的unlockKey字符可以通过重复的质询请求进行暴力破解,从而损害锁的完整性。质询请求发生在解锁过程中,并且包含0到65535之间的随机整数。质询请求可以不受任何限制地重复提示和响应,直到发现正确的整数。成功完成挑战请求将提供unlockKey字符。
CVE-2023-7007
Sciener服务器不验证来自GatewayG2的连接请求,从而允许冒充攻击。攻击者可以冒充已与锁建立连接的GatewayG2的MAC地址,然后连接到Sciener服务器并接收消息,而不是合法的GatewayG2。这可以方便unlockKey字符的访问。
CVE-2023-7009
Kontrol Lux锁支持通过低功耗蓝牙进行明文消息处理,允许将未加密的恶意命令传递到锁。这些长度小于16字节的恶意命令将由锁处理,就像它们是加密通信一样。攻击者可以进一步利用这一点来破坏锁的完整性。
CVE-2023-7017
如果通过蓝牙低功耗服务传递到锁,Kontrol Lux锁固件更新机制不会验证或验证固件更新。可以向锁发送质询请求以及准备更新的命令,而不是解锁请求。这使得蓝牙范围内的攻击者可以将任意恶意固件传递给锁,从而损害其完整性。
CVE-2023-6960
TTLock应用程序支持创建虚拟钥匙和设置。这些虚拟钥匙旨在通过TTLock应用程序分发给其他人,用于解锁和锁定锁。它们也可以设置为仅在特定时间段内有效。这些虚拟钥匙的删除仅发生在TTLock应用程序的客户端,相应的钥匙信息保留在关联的锁中。如果攻击者获得这些虚拟钥匙之一,他们就可以在其预期删除或失效后利用它来解锁锁。
影响及后果
这些漏洞允许攻击者通过物理、相邻或蓝牙连接接近锁访问各种功能,从而在受害者不知情或不进行交互的情况下破坏锁的完整性。这导致锁功能形同虚设。
受影响的版本:Kontrol Lux锁,固件版本6.5.x至6.5.07;网关G2,固件版本6.0.0;TTLock应用程序,版本6.4.5
这些漏洞没有软件解决方案,只有潜在的缓解方法。通过使用Sciener固件禁用与锁的蓝牙功能相关的各种功能,可以防止多种攻击。然而,由于锁的设计目的是与TTLock应用程序一起使用,因此对于大多数用户来说这可能不是一个实用的解决方案。
参考资源
1、http://kb.cert.org/vuls/id/949046
2、http://www.securityweek.com/unpatched-sceiner-smart-lock-vulnerabilities-allow-hackers-to-open-doors/
3、http://alephsecurity.com/2024/02/20/kontrol-lux-lock-1/
4、http://alephsecurity.com/2024/02/20/kontrol-lux-lock-2/
来源:网空闲话plus
在线咨询
在线咨询
0371-63319761