Kurze Antwort: Nein, auch in Zukunft nicht. Eine detaillierte Erklärung des Angriffs und Erläuterungen dazu, warum unsere Technologie nicht Ziel eines solchen Angriffs werden kann, lesen Sie im Folgenden.
Die kritischen Sicherheitsschwächen in den Bluetooth-Low-Energy-Spezifikationen (BLE) sind in letzter Zeit viel diskutiert worden, seit die Perdue University und die École Polytechnique Fédérale de Lausanne (EPFL) vor BLESA-Angriffen (Bluetooth Low Energy Spoofing Attack) gewarnt haben. Diese in den letzten Monaten entdeckte Schwachstelle betrifft Geräte, die mit dem BLE-Protokoll arbeiten, und ermöglicht es Hackern, sich als ein BLE-Gerät auszugeben, um wichtige Daten an ein anderes, zuvor gekoppeltes Gerät zu übermitteln.
Bluetooth Low Energy ist das am weitesten verbreitete Protokoll und ermöglicht eine energieeffiziente drahtlose Kurzstreckenkommunikation zwischen Geräten mit eingeschränkten Ressourcen. Sie ist intelligenter und kompakter als die klassische Originalversion, energieeffizienter und spart Batteriestrom, ohne die Konnektivität zu beeinträchtigen. Darüber kann es leicht umgesetzt werden, da es nur wenig Benutzerinteraktion erfordert, um eine Verbindung zwischen zwei oder mehr Geräten herzustellen. Leider ist seine Einfachheit nicht nur die Ursache für seine weite Verbreitung, sondern auch für seine Schwachstellen, wie Spoofing-Angriffe.
Die Forscher haben festgestellt, dass die neue Sicherheitslücke während des Pairing- und Bonding-Prozesses auftritt, bei dem sich der Client und der Server authentifiziert haben, um sich mit dem Gerät des jeweils anderen zu verbinden. Während des Authentifizierungsprozesses können die Überprüfungen der erneuten Verbindung umgangen werden, was dazu führen kann, dass falsche Informationen an das BLE-Gerät gesendet werden. All dies kann dazu führen, dass menschliche Bediener und automatisierte Prozesse falsche Entscheidungen treffen.
Bei jeder BLE-Verbindung fungiert ein Gerät als Client und ein anderes als Server. Wenn sie sich zum ersten Mal verbinden, führen sie ein Pairing-Verfahren durch, das sich je nach den angeschlossenen Geräten und den Fähigkeiten der Benutzerschnittstellen ändert. In dieser Phase manifestiert sich die Verwundbarkeit. Die verschiedenen Möglichkeiten der Interaktion zwischen dem primären und dem sekundären Gerät ermöglichen die Kontrolle des gesamten Prozesses und der Verwundbarkeit selbst. Bei der ersten Art der Interaktion verbindet sich ein Peripheriegerät unlösbar mit einem Primärgerät, die beiden Geräte sind also miteinander verbunden. Bei der zweiten Art kann das zentrale Gerät bei jeder Interaktion eine Verbindung mit dem peripheren Gerät herstellen, ohne dass die Geräte miteinander verbunden werden. Die Schwachstelle besteht im ersten Fall, den Sofia Locks-Systeme bei der Netzwerkkonfiguration und -kommunikation der Zutrittskontrollplattform nie verwenden.
Daher sind unsere Lösungen und cloudbasierten Vorgänge nicht angreifbar. Unsere Systeme sind mit einem zusätzlichen Verschlüsselungsprotokoll zum Standard-BLE-Protokoll ausgestattet, um eine zusätzliche Sicherheitsebene zu schaffen. Unsere Experten haben unsere Lösungen speziell so konzipiert, dass diese Art von Angriffen oder technologischen Schwachstellen vermieden werden. Aus diesem Grund wird der BLESA-Angriff niemals unsere Systeme und Geräte beeinträchtigen.