Elektronički proizvođač zaključavanja sukobio se s sigurnosnom tvrtkom preko softverskih nedostataka

Stvoritelj široko korištenih elektronskih zaključavanja preuzeo je pitanje kritike sigurnosne tvrtke o jednom od svojih najistaknutijih proizvoda.

IOActive, sigurnosna savjetodavna služba sa sjedištem u Seattleu, objavila je savjetovanje o nekoliko sigurnosnih nedostataka elektroničkih bravica tvrtke CyberLock,

CyberLock, koji je unaprijed primio obavijesti o problemima iz IOAttira, tvrdi da nije bilo dovoljno vremena i informacija prije upozorenja IOAgleda.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Ostaje nejasno je li CyberLock planirao objaviti dva pisma koja tvrde da su ih CyberLockovi odvjetnici poslali IOAtniku. podnijeti tužbu protiv IOActive. Niti jedno poduzeće nije moglo odmah doći u utorak kasno.

Davis je analizirala CyberLockov proizvod koji kombinira fizičku bravu s elektroničkim kontrolama pristupa. CyberLock sadrži ugrađeni mikročip koji određuje je li ovlašten posebni ključ s baterijom za otvaranje. Ključ se može programirati da samo otvori bravu između određenih sati i također može biti potpuno opozvan.

Brave koriste brojni veliki kupci, uključujući Amsterdamski sustav javnog prijevoza, Metro;

IOActive savjetnik je izjavio da je tvrtka pronašla pola tuceta problema s CyberLocksom.

"Nakon nekog obrnutog inženjeringa, čini se da su ti uređaji lako klonirani, i nove tipke mogu se stvoriti iz izgubljenih cilindara i ključeva bez obzira na dopuštenja koja su dodijeljena ključu ", napisao je Davis. "Osim toga, ključeve se ne provodi vremenska ograničenja, a ne cilindar, omogućujući napadaču pristup u bilo kojem trenutku bez obzira na konfiguraciju."

IOActive je otkrio da može izdvojiti ključ iz firmwarea zaključavanja i stvoriti kloniranu ključ presretanjem komunikacije između prethodno ovlaštenog ključa i zaključavanja. Ključ je pohranjen u jasnom tekstu unutar tvrtke CyberLock, piše tvrtka.

U pismu od ponedjeljka, CyberLockova odvjetnica tvrdi da je IOActive koristio sofisticiranu laboratorijsku opremu i tehničku stručnost koja ne bi bila dostupna široj javnosti kako bi došla do svojih otkrića. CyberLock je tvrdio da bi bilo lakše samo bušiti bravu s vrata ili ga sjekirom sjekuti.

Tvrtka također tvrdi da nije dala potpune tehničke informacije, te da je IOActive objavio savjetodavnu uslugu nakon što je davao tehničko osoblje malo obavijesti.

IOActiveova taktika - da bi zaprijetila otkrivanju, osim ako tehničko osoblje nije dostupno u roku od nekoliko dana - "jednostavno čini ovaj proces teži za sve nas", navodi CyberLockov dopis.