전자 잠금 장치용 소프트웨어 및 하드웨어를 개발하는 Sciener사의 제품에 여러 가지 취약점이 발견되었습니다. 이 취약점에는 잠금 해제 키 문자의 무차별 대입 공격, 암호화 프로토콜 다운그레이드, AES 키 재사용, 가상 키 및 설정 악용 등이 포함됩니다. 또한 검증 절차, 가장 공격, 평문 메시지 처리, 펌웨어 업데이트와 관련된 문제도 있습니다. 이러한 취약점은 공격자가 잠금 장치에 물리적, 인접 또는 블루투스 연결 근접성을 통해 악용하여 잠금 장치 무결성을 손상시킬 수 있습니다. 영향을 받는 버전에는 Kontrol Lux 잠금 장치, Gateway G2, TTLock 앱이 포함됩니다. 이러한 취약점에 대한 소프트웨어 솔루션은 없지만 특정 블루투스 기능을 비활성화하면 일부 공격을 방지할 수 있습니다.
kb.cert.org
VU#949046: Sceiner firmware locks and associated devices are vulnerable to encryption downgrade and arbitrary file upload attacks
RSS Hunter
2024-03-07