Хакер нашел способ открыть дверь и войти в офисное здание Google (Калифорния, США) без необходимой ключ-карты RFID. К счастью, взломщиком был сотрудник компании Дэвид Томасчик, преследовавший лишь благие цели.
Томасчик обнаружил уязвимости в системе от производителя офисных контроллеров для управления физической безопасностью Software House. Зашифрованные сообщения, рассылаемые устройствами от Software House (iStar Ultra and IP-ACM) по внутренней сети Google, не были случайными. При надлежащей защите зашифрованные сообщения всегда должны выглядеть, как случайный набор символов.
В ходе дальнейшего анализа сообщений был обнаружен вшитый ключ шифрования, используемый для всех устройств Software House.
Исследователю удалось успешно скопировать ключ и подделать команды, в том числе для разблокировки дверей. С тем же успехом он мог просто заново воспроизвести команды для разблокировки дверей, что имело бы аналогичный эффект. Томасчик также мог блокировать замки и не впускать других сотрудников офиса. Более того, все его действия не регистрировались системой.
Как сообщил представитель Google, никаких свидетельств эксплуатации уязвимостей злоумышленниками обнаружено не было. Компания незамедлительно предприняла меры по усилению своей безопасности, а в iStar v2 Board теперь используется более надежное шифрование. Тем не менее, для устранения проблемы пользователи уязвимых устройств теперь вынуждены покупать новые.
