Video: Twerk it! Hacker turns traffic light into street disco (November 2024)
Tijdens een verblijf in het St. Regis in Shenzhen, China, hackte Jesus Molina, een onafhankelijke beveiligingsadviseur en voormalig voorzitter van de Trusted Computing Group, met succes de besturing van 200 kamers in het luxe hotel.
Het hotel biedt een iPad in elke kamer, waarmee gasten onder andere de lichten en jaloezieën kunnen bedienen. Molina heeft vrijdag aan Black Hat-aanwezigen beschreven hoe hij nieuwsgierig was naar het automatiseringssysteem dat door de iPad wordt gebruikt. Molina merkte op dat het de hotelinternetservice van het hotel gebruikte om te communiceren met de lampen en andere objecten. De automatiseringsopdrachten maakten gebruik van KNX / IP, een twee decennia oud protocol zonder beveiligingsinstellingen. Hoewel er een recentere versie van KNX / IP is waarin sommige beveiligingsinstellingen zijn ingebouwd, zijn de meeste gebruikers niet bijgewerkt.
Hoe onzeker hebben we het? Molina ontdekte dat als hij het IP-adres van het ene apparaat gebruikte en alleen het laatste cijfer wijzigde, hij toegang kon krijgen tot een ander apparaat in de kamer. Hij schreef een script om de IP-adressen voor verlichting en zonwering in 200 verschillende kamers in kaart te brengen. Hij moest de receptie vragen om vier keer van kamer te wisselen om zijn kaart van het netwerk van het hotel te verfijnen.
Molina liet een video zien van zichzelf die tests uitvoerde en op afstand lichten in kamers aan deed.
Molina informeerde Starwood Group, de hotelketen die St Regis bezit en informeerde hen over het gebrek. Starwood werkte mee en loste de fout snel op zodat al zijn hotels die het systeem gebruiken niet langer kwetsbaar zijn.
KNX / IP is echter de standaard voor hotelautomatisering in China en wordt ook op grote schaal geïmplementeerd in Europa. Dat zijn veel hotels die het oudere, onveilige protocol gebruiken. Molina merkte op dat hoewel KNX / IP standaard zou moeten zijn, de documentatie waarin wordt uitgelegd hoe het te gebruiken meer dan duizend dollar kost. Dit betekent dat een niet-Starwood-hotel dat een vergelijkbaar automatiseringssysteem gebruikt, nog steeds kwetsbaar kan zijn.
