Menü

Smartes Türschloss August war zu gastfreundlich

Durch eine Lücke in vernetzten Türschlössern konnten sich deren Besitzer unangemeldet untereinander besuchen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 129 Beiträge
Von

Durch eine Sicherheitslücke in dem vernetzten Türschloss August konnten Unbefugte die gesicherten Türen mit überschaubarem Aufwand entsperren – ganz ohne Lockpicking-Set.

Das motorisierte Schloss entsperrt die Tür per Smartphone-App und lässt sich über eine WLAN-Bridge namens "August Connect" mit dem Internet verbinden. Der Besitzer kann beliebige Personen als Gast am Schloss anmelden. Diese bekommen dann eine Art digitalen Nachschlüssel, der Ihnen Zutritt gewährt.

In dieser Funktion haben die Sicherheitsforscher Stephen Hall und Paul Lariviere zu Jahresbeginn eine fatale Sicherheitslücke entdeckt: Über die Web-API des smarten Augusts konnte sich jeder, der ebenfalls ein Schloss dieser Art besitzt, Zugriff auf alle anderen Schlösser verschaffen. Die Forscher tauschten beim Anlegen neuer Gast-Zugänge einfach die Seriennummer ihres Schlosses (UUID) gegen eine andere aus. Die API überprüfte nicht, ob das Schloss, für das der Gast-Schlüssel angelegt werden sollte, auch tatsächlich demjenigen gehörte, von dem die API-Anfrage ausging.

Die Seriennummer des Schlosses ist kein Geheimnis: Die August-App kann nach Schlössern in der Nähe suchen und speichert ihre Seriennummern dabei in einer Log-Datei. Die Forscher hatte den Hersteller am 30. Januar über das Sicherheitsproblem. Keine 24 Stunden später hatte das Unternehmen die API-Lücke bereits geschlossen. Das August Smart Lock ist hierzulande aktuell nicht erhältlich. (rei)