Bir güvenlik araştırma firması, hükümet binalarında ve apartman komplekslerinde kullanılan bir kapı giriş güvenlik sisteminde “kolayca” istismar edilebilir bir güvenlik açığı keşfettiğini söylüyor, ancak güvenlik açığının düzeltilemeyeceği konusunda uyarıyor.
Norveçli güvenlik şirketi Promon, hatanın, genellikle temassız kredi kartlarında bulunan NFC teknolojisini kullanan birkaç Aiphone GT modelini etkilediğini ve kötü aktörlerin kapı giriş sisteminin güvenlik kodunu kaba zorlayarak hassas tesislere potansiyel olarak erişmesine izin verdiğini söylüyor.
Kapı giriş sistemleri, binalara ve konut komplekslerine güvenli erişim sağlar, ancak giderek dijitalleşerek onları hem fiziksel hem de uzaktan tehlikeye karşı savunmasız hale getirir.
TechCrunch tarafından görülen şirket broşürlerine göre Aiphone, hem Beyaz Saray’ı hem de Birleşik Krallık Parlamentosu’nu etkilenen sistemlerin müşterisi olarak görüyor.
Promon güvenlik araştırmacısı Cameron Lowell Palmer, olası bir davetsiz misafirin, her Aiphone GT kapı sistemini güvence altına almak için kullanılan dört basamaklı bir “yönetici” kodunun her permütasyonu arasında hızla geçiş yapmak için NFC özellikli bir mobil cihaz kullanabileceğini söyledi. Sistem, bir kodun kaç kez denenebileceğini sınırlamadığı için, Palmer, kapı giriş sistemi tarafından kullanılan 10.000 olası dört basamaklı kodun her biri arasında geçiş yapmanın yalnızca dakikalar sürdüğünü söyledi. Bu kod, sistemin tuş takımına delinebilir veya bir NFC etiketine iletilebilir, bu da kötü oyuncuların sisteme hiç dokunmadan potansiyel olarak kısıtlı alanlara erişmesine izin verir.
TechCrunch ile paylaşılan bir videoda Palmer, test laboratuvarında savunmasız bir Aiphone kapı giriş sistemindeki her dört basamaklı kodu kontrol etmesine olanak tanıyan bir konsept kanıtı Android uygulaması geliştirdi. Palmer, etkilenen Aiphone modellerinin günlükleri saklamadığını ve kötü bir oyuncunun dijital bir iz bırakmadan sistemin güvenliğini atlamasına izin verdiğini söyledi.
Resim Kredisi: Cameron Lowell Palmer / Promon
Palmer, Haziran 2021’in sonlarında Aiphone’ye yönelik güvenlik açığını açıkladı. Aiphone, güvenlik şirketine 7 Aralık 2021’den önce üretilen sistemlerin etkilendiğini ve güncellenemediğini, ancak bu tarihten sonraki sistemlerin kapıdan giriş denemelerini sınırlayan bir yazılım düzeltmesine sahip olduğunu söyledi.
Promon’un Aiphone sisteminde keşfettiği tek hata bu değil. Promon ayrıca, kapı giriş sistemini kurmak için kullanılan uygulamanın, sistemin arka uç portalı için yönetici kodunu içeren şifrelenmemiş, düz metin bir dosya sunduğunu keşfettiğini söyledi. Promon, bir davetsiz misafirin kısıtlı alanlara erişmek için gereken bilgilere de erişmesine izin verebileceğini söyledi.
Aiphone sözcüsü Brad Kemcheff, yayınlanmadan önce gönderilen yorum taleplerine yanıt vermedi.
Buna bağlı olarak, bu yılın başlarında bir üniversite öğrencisi ve güvenlik araştırmacısı, hastanelere ve üniversite kampüslerine erişim kontrolü ve ödeme sistemleri sağlayan bir teknoloji şirketi olan CBORD tarafından yaygın olarak kullanılan bir kapı giriş sisteminde bir “ana anahtar” güvenlik açığı keşfetti. CBORD, araştırmacı sorunu şirkete bildirdikten sonra hatayı düzeltti.