web-dev-qa-db-ja.com

Bluetoothベースのドアロックにはどのようなリスクがあり、緩和策はありますか?

市場にはいくつかの興味深い Bluetoothドアロック バージョンBluetooth 4.0を使用していますが、いくつかあるようです これに関する問題

  • E0暗号化の欠陥

  • ペアリング中のリスク

  • 動作環境に固有の攻撃(温度、設置、近くのRF)

  • 私はモバイルデバイスをさまざまなものに開放しています Bluetooth攻撃

..そして、それを締めくくるために、ロックに物理的に近づかなくても、「ウォードライブ」してこれらの興味のあるロックを見つけることが可能だと思います。

私の質問です。これらのリスクは私が検討するのに妥当ですか? ...または私は家でBluetoothロックを使用しないことに慎重になっていますか?.

便利な要素は非常に興味深いですが、インストールする前にリスクを完全に理解していることを確認したいと思います。

10

確かに非常に興味深いテクノロジー

テクノロジーが設計、開発され、安全であれば、かなり安全です。それは多くのクールな機能を提供するようです。

  • 「アプリ」で一元的に家にアクセスするためのキーを設定します。
  • 必要に応じて、合意された時間枠で、物理的な配信なしに「キー」をユーザーに展開します。
  • 必要に応じてキーを廃止します。
  • 多くのキーが可能で、名前が付けられ、構成され、報告されます。
  • Bluetoothワードライビングは可能かもしれませんが、システムプロバイダーによって最小化/排除できます。

ただし、追加のリスクが発生します

  1. キーシステムプロバイダーは、家を完全に制御およびアクセスできます。
  2. キーシステムプロバイダーは、ロックを使用し続けるために、ビジネスを継続する必要があります。
  3. インターネットアクセスがアクティブに中断され、特定の機能が動作しなくなる(ワイプ/キーの無効化)
  4. システムの設計バグ(サイトに十分な情報がないため)。
  5. システムの実装バグには、Webシステムが含まれます(攻撃者への完全なアクセスを許可する場合があります)。
  6. 重要な場合:政府は密かにあなたの家にアクセスできます。
  7. 家へのアクセスの拒否:システム障害またはBluetooth無線により、家からの出入りが悪化する可能性があります(キーシステムが機能していなかった場合に家にアクセスする方法について考えてください。鍵は鍵屋で選択できないことに注意してください)。
  8. キーを備えた電話がリモートまたは物理的に侵害されると、家が危険にさらされる可能性があります。
7
Andrew Russell

技術的には、後のクラスのBluetooth(2.1以降)を安全に使用できない理由はありません。 2007 E0の脆弱性は2.1以降のBluetooth仕様に加えられた変更で対処され、ペアリングプロセスに加えられた変更により暗号化が必要な部分に行われました。

安全なペアリング(デバイスがドアを開けることを確認できます)および製造元またはロック(安全なピンまたはキーのペアリングプロセスを使用)による適切な実装を前提として、ロックは通常のピンよりもはるかに安全である必要があります。タンブラー。

私が特定できる2つの主な懸念事項があります。どちらも複雑さに関係しています。従来のピンとタンブラーロックの主な欠点と主な欠点は、単純さです。シリンダーのエッジにピンを並べるだけであるので、これは間違いのない、ほぼフェイルプルーフのデバイスですが、これにより、ピンを簡単に選ぶことができます。

一方、Bluetoothロックは、壊れる可能性のある部品が多い複雑な電子機器です。適切に設計されたデバイスは、障害が発生したときにロックを解除するか、ロックされたままにするように設計できます。内部からの出口の場合、常に出口を許可することで失敗しますが、外部からの場合、ロックと同じように失敗するか、ロック解除と同じように失敗するかは、ユーザーの好みです。

これは、電子ロックが長年にわたって高い信頼性で商業的に使用されてきたという事実によって大きく相殺されているため、完全に新しいものではありません。このようなロックには、Bluetoothサブシステムの障害またはBluetoothの障害が発生した場合にBluetooth機能をオーバーライドするために使用できるHID(または類似の)近接カードアクセスなど、確立された標準のフォールバックアクセス方法が必要です。端末。また、デバイスの不正なペアリングを防止するために、ペアリングのために近接カードを要求することで、2つの目的を果たすこともできます。

2番目の大きな弱点は、外部接続システムのさらなる複雑さと独立性の喪失です。ロックが外部サービスにWeb接続されている場合、その外部サービスがロックを制御できるようになり、システムの整合性の侵害の原因となる可能性があります。まともな暗号化チャレンジ/レスポンスは安全であることが強く求められますが、高度な機能を提供するWebサービスは、機能の実装方法によっては、問題が発生する可能性がはるかに高くなります。それはシステムに非常に多くの未知数を追加し、標準がよく知られていて、公開されていて、おそらく私が自分で実行できるものでない限り、私はそのような機能を使用するのをためらいます。

4
AJ Henderson

現時点では、Bluetoothロックのデジタルセキュリティに対する広範な認証手順はありません。

つまり、いずれかを使用すると、セキュリティとプライバシーがロックの開発者のなすがままになります。

Bluetoothロックは革新的な製品であるため、通常の革新モデルに従います。新機能をできるだけ早く市場にリリースし、報告されたバグを後で修正し、大ヒットした後は積極的に探します。

Bluetoothロックの重大な脆弱性 報告されています 。これには、ホテルだけでなく、ホテルで使用される プロのスマートロックシステム も含まれます プレーンテキストでパスワードを転送する ほどひどく設計できます。

電子ロックは何十年も使用されており、非常に安全ですが、Bluetoothロックは新しい開発です。 Bluetoothプロトコルはより複雑であり、これらのロックのキーは、NFCスマートカードよりもはるかに複雑なソフトウェア環境で実行する必要があります。

現時点では、Bluetoothベースのロックは環境への便利な追加になり得ますが、ドアの唯一のロックではありません。建物全体へのアクセスがより安全な手段で制御されている限り、ほとんど信頼されている人々の間で、内部ドアを介してアクセスを管理することを検討することは合理的です。

0
ZOMVID-20

リンクしているKevo by Kwiksetのロックを見ると、bluetooth経由で可能な高度な攻撃はおそらく機能しません。これらのロックのほとんどには、標準のキーメカニズムが含まれているようです。

それに関する問題は、Kwiksetとそれらの競争が高セキュリティのシリンダーに入れていないことをかなり確信していることです-私はそれらが私の家が持っているものと同じだと思います。私はそれらを選ぶのはそれほど難しくなく、ぶつかる可能性さえあると思います。

0
Michael Kohne