Opnieuw is er een bluetooth-slot ontdekt dat gegevens van alle gebruikers blijkt te lekken, waaronder e-mailadres, wachtwoordhash en locatiegegevens van het slot. Daarnaast kan een aanvaller het slot op afstand overnemen en zelf openen of ervoor zorgen dat de gebruiker het slot niet meer kan gebruiken.
Een oplossing is niet beschikbaar, behalve het niet meer gebruik van het slot. Het gaat om de Noke lock, een goedkoop bluetooth-slot dat onder andere via Amazon wordt aangeboden. Gebruikers kunnen het slot via een app en bluetooth-verbinding bedienen. De implementatie van het bluetooth-protocol laat te wensen over, waardoor een aanvaller op 10 meter afstand het slot kan openen.
Daarnaast zit er een kwetsbaarheid in de programmeerinterface, waardoor een aanvaller zonder authenticatie met de Noke lock-database kan communiceren. Hierdoor is het mogelijk om van alle gebruikers de accountgegevens uit te lezen, zoals het e-mailadres, wachtwoordhash en gps-gegevens van het slot. Tevens kan een aanvaller deze gegevens wijzigen, waardoor een aanvaller het slot kan overnemen of kan voorkomen dat de eigenaar zijn eigen slot gebruikt.
Om deze acties uit te voeren is een token vereist. Het token controleert alleen of het account is geauthenticeerd, niet of het ook geautoriseerd is. Onderzoeker David Lodge van securitybedrijf Pen Test Partners merkt op dat het eenvoudig is om een account aan te maken en zo toegang tot de gegevens in de database te krijgen.
Tevens blijkt dat het wachtwoord van gebruikers via het zwakke MD5-algoritme wordt gehasht, zonder gebruik van een salt. Daardoor lopen gebruikers risico dat hun wachtwoord wordt gekraakt als een aanvaller de database in handen krijgt of een insecure direct object reference (IDOR) aanval uitvoert, zoals Lodge deed. De onderzoeker testte de aanval alleen met zijn eigen accounts.
Lodge is naar eigen zeggen sinds januari bezig geweest om de fabrikant te waarschuwen, maar zonder succes. In februari werd bekend dat een ander bluetooth-slot, de Tapplock One, ook de gegevens van alle gebruikers lekte. Volgens Lodge laat de Noke lock zien dat gebruikers voorzichtig moeten zijn met goedkope producten en dit bluetooth-slot vermeden moet worden.
Bron: Security.nl