Engenheiro do Google encontra falha de segurança nas portas da empresa
Ele descobriu que as portas do Google com fechaduras eletrônicas poderiam ser abertas sem crachá
Os escritórios do Google costumam ser muito modernos, mas estão sujeitos a falhas de segurança. Em julho, a empresa descobriu que sua sede na Califórnia, tinha uma brecha que permitia abrir portas com fechaduras eletrônicas sem utilizar o crachá de funcionários.
A situação foi revelada ao público no final de agosto e, por sorte, foi descoberta por um funcionário do próprio Google. Durante a conferência hackers IoT Village, David Tomaschik contou como descobriu que pessoas sem o cartão de segurança RFID poderiam abrir as portas do escritório.
Tudo começou quando ele decidiu testar a segurança do sistema e enviar um código malicioso pela rede da empresa. Após a tentativa, percebeu que as luzes das portas passaram de vermelho para verde, indicando que elas haviam sido destrancadas.
A brecha estava em dois produtos fabricados pela Software House, responsável pelas portas: iStar Ultra e IP-ACM. Eles se comunicavam com os leitores de crachás e usavam a rede do Google para enviar mensagens criptografadas. Porém, de acordo com a análise de Tomaschik, o conteúdo não era totalmente aleatório, como deveria ocorrer para serem mais seguros.
Além disso, a mesma chave de criptografia era usada em todos os dispositivos da Software House. Isso significa que seria possível um cibercriminoso ter controle sobre várias portas com o mesmo código usado no primeiro ataque.
Para piorar a situação, os comandos de abrir ou trancar uma porta não deixavam rastros, ou seja, os funcionários poderiam ficar trancados para fora e ninguém conseguiria identificar o responsável.
Depois de saber da falha de segurança, o Google agiu para prevenir possíveis ataques. A empresa segmentou sua rede para oferecer mais proteção e disse que não há evidências de que as falhas tenham sido aproveitadas por hackers maliciosos.
Já a Software House adotou o padrão de criptografia TLS em seus produtos. O erro, porém, não poderá atender clientes antigos, já que os sistemas não têm memória suficiente para garantir a instalação de um novo firmware.
Uma saída seria realizar o reparo pessoalmente, o que pode não ocorrer. À Forbes, a empresa disse que avisou os usuários sobre a falha de segurança, mas não garantiu que os dispositivos passarão por uma correção.
Com informações: Forbes, ZDNet.
