VU#949046 : Le firmware Sceiner et les appareils associés sont vulnérables aux attaques de rétrogradation du chiffrement et de téléchargement de fichiers arbitraires

Sciener, une société qui développe des logiciels et du matériel pour serrures électroniques, présente plusieurs vulnérabilités dans ses produits. Ces vulnérabilités comprennent le forçage brut du caractère unlockKey, la rétrogradation des protocoles de cryptage, la réutilisation des clés AES et l'exploitation des clés et paramètres virtuels. De plus, il existe des problèmes avec les procédures de vérification, les attaques d'usurpation d'identité, le traitement des messages en texte clair et les mises à jour du micrologiciel. Ces vulnérabilités peuvent être exploitées par des attaquants disposant d'une proximité physique, adjacente ou Bluetooth avec la serrure, entraînant une compromission de l'intégrité de la serrure. Les versions affectées incluent la serrure Kontrol Lux, la passerelle G2 et l'application TTLock. Il n'existe aucune solution logicielle pour ces vulnérabilités, mais la désactivation de certaines fonctions Bluetooth peut empêcher certaines attaques.