Fabrikant van bluetooth-deursloten U-Tec heeft van een onbekend aantal gebruikers de data gelekt waarmee hun deuren op afstand waren te openen.

Deze firma levert Ultraloq-sloten die op afstand zijn te bedienen. De sloten kunnen via een vingerafdruk, code en smartphone worden geopend. De Ultraloq werkt via het MQTT-protocol (Message Queuing Telemetry Transport) dat wordt gebruikt om smart home-apparaten mee te bedienen en met elkaar te laten verbinden. Daarbij loopt de communicatie tussen de gebruiker en het slot via een MQTT-server.

In het geval van U-Tec was hun MQTT-server voor iedereen op internet toegankelijk en geïndexeerd door zoekmachine Shodan. Doordat er geen authenticatie werd gebruikt was het mogelijk om data op de server op te vragen. Via Shodan ontdekte Young de server. Die bleek de e-mailadressen, lokale mac-adressen, publieke ip-adressen en ontgrendelcodes van gebruikers te bevatten.

Vervolgens ontdekte Young dat het mogelijk was om de data opnieuw af te spelen, waardoor een aanvaller op afstand het deurslot zou kunnen openen. "Wanneer iemand ooit de deur met de U-Tec-app opendoet, zal de aanvaller het token in handen krijgen om de deur op elk willekeurig moment te openen." Aan de hand van het ip-adres zou het mogelijk zijn om de locatie van gebruikers te achterhalen. Daarnaast blijkt het slot ook het lokale mac-adres uit te zenden wat een aanvaller zou kunnen helpen.

Volgens de onderzoeker gaat het probleem verder dan alleen deursloten en hebben tal van bedrijven hun MQTT-server niet beveiligd waardoor misbruik op de loer ligt.

Alles bij de bron; Security