LOADING ...

Um funcionário descobre uma falha de segurança que lhe permite controlar as portas do campus do Google

Sep 04, 2018. 2 comments

Um engenheiro do Google descobriu uma vulnerabilidade no sistema que controla o acesso às portas do campus da empresa em Sunnyvale, na Califórnia, e aproveitou a oportunidade para mostrar que ele poderia ignorar qualquer bloqueio de suas instalações controlado por cartão RFID.

De acordo com a Forbes , David Tomaschik descobriu que os dispositivos da empresa Software House conectados à rede do Google usavam uma chave de criptografia fixa e insegura e lançavam um ataque para testar as consequências:

No verão passado, quando Tomaschik analisou as mensagens criptografadas que os dispositivos da Software House (chamados de iStar Ultra e IP-ACM) enviaram pela rede do Google, ele descobriu que eles não eram aleatórios; Mensagens criptografadas sempre devem aparecer aleatoriamente para oferecer proteção correta. Ele ficou intrigado e, após investigações profundas, descobriu que todos os dispositivos da Software House usavam uma chave fixa de criptografia. Isso significava que ele poderia replicar a chave e forjar comandos, como aqueles que destrancaram a porta. Ou você pode simplesmente jogar comandos de desbloqueio legítimos, obtendo o mesmo efeito.

Tomaschik também usou o conhecimento da vulnerabilidade para impedir que outros funcionários do Google acessem partes do edifício. O pior de tudo, eu poderia fazer tudo isso sem deixar vestígios:

Tomaschik também descobriu que poderia fazer tudo isso sem deixar registro de suas ações e impedir que funcionários legítimos do Google abrissem as portas. “Depois que encontrei o problema, tornou-se uma prioridade. Foi muito sério ”, disse ele à Forbes . O Google agiu rapidamente para evitar ataques em seus escritórios, segundo Tomaschik.

O Google disse à Forbes que não havia evidências de que um hacker malicioso tivesse explorado a vulnerabilidade antes que ela fosse descoberta por Tomaschik. O design dos dispositivos da Software House foi atualizado para aumentar sua segurança, embora os dispositivos originais não possam ser atualizados de qualquer forma, exceto a substituição do hardware, devido a restrições de memória.

É fácil entender por que esse é um problema particularmente sério, não apenas para a segurança da equipe do Google. A Alphabet, sua proprietária, é uma das poucas empresas de tecnologia que vale cerca de um bilhão de dólares ; Portanto, suas instalações não são exatamente o lugar onde você gostaria de ter alguém farejando livremente. Como a Forbes apontou, Tomaschik está preocupado que existam apenas alguns fabricantes de sistemas de segurança com cartões-chave RFID, o que significa que a vulnerabilidade da Software House provavelmente estará presente em uma porcentagem alarmante das já instaladas em todo o mundo.

[ Forbes ]

2 Comments

Suggested posts

Microsoft confirma que a sua Cortana e as gravações do Skype não são privadas, não surpreende ninguém Microsoft confirma que a sua Cortana e as gravações do Skype não são privadas, não surpreende ninguém

Nesse ponto, se você não quiser que estranhos ouçam gravações de seus dispositivos, parece que você só precisa sair da grade. Na quinta-feira, a Microsoft se tornou a mais recente gigante de tecnologia a admitir que usa empreiteiros humanos para revisar o áudio de seus usuários. Então, caso você tenha perdido a noção até agora, essa lista também inclui...

Como testar o novo Google Maps com indicações em realidade aumentada Como testar o novo Google Maps com indicações em realidade aumentada

Minha orientação espacial é praticamente zero, então eu tenho esperado o Google Maps do futuro desde que foi apresentado na conferência de desenvolvedores do Google no ano passado. É o Maps usual, mas com uma nova função de realidade aumentada que lhe dá instruções sobre a imagem da câmera. O modo Live View finalmente chega esta semana através da...

Trump impulsiona o engenheiro do Google que propôs a arrecadação de fundos de Richard Spencer, sugeriu Skinheads Rebrand Trump impulsiona o engenheiro do Google que propôs a arrecadação de fundos de Richard Spencer, sugeriu Skinheads Rebrand

Na manhã de segunda-feira, o presidente Donald Trump finalmente aproveitou o tempo para oco e completamente inconvincente denúncia de supremacia branca na sequência de tiroteios em massa em Dayton, Ohio e El Paso, Texas no fim de semana que coletivamente resultaram em pelo menos 31 mortes e dezenas de feridos - no último caso envolvendo um atirador cujo manifesto...

O iPhone voltará a ter um leitor de impressões digitais em 2021, segundo Ming-Chi Kuo O iPhone voltará a ter um leitor de impressões digitais em 2021, segundo Ming-Chi Kuo

O famoso analista da Apple Ming-Chi Kuo acredita que a empresa está trabalhando em um iPhone com um leitor de impressões digitais sob a tela para 2021. De acordo com um relatório da Kuo coletado pela 9to5Mac , a Apple dedicará os próximos 18 meses para resolver uma série de desafios tecnológicos para combinar um leitor de impressões digitais...

Bill proposto quer que as empresas de tecnologia paguem o nariz se a investigação do DOJ revelar violações antitruste Bill proposto quer que as empresas de tecnologia paguem o nariz se a investigação do DOJ revelar violações antitruste

As senadoras norte-americanas Amy Klobuchar e Richard Blumenthal propuseram legislação antitruste na sexta-feira que, se aprovada, poderia dar ao Departamento de Justiça sonda lançada recentemente em preocupações de monopólio entre grandes empresas de tecnologia, alguns dentes sérios se quaisquer violações vierem à luz. Os dois democratas chamam isso de "Lei de Dissolução da Monopolização", informou a Reuters . Essa...

Amazon realmente não dá uma merda, hein? Amazon realmente não dá uma merda, hein?

A Apple e o Google revelaram recentemente que pararam temporariamente de deixar empreiteiros ouvir gravações de seus assistentes de voz. Os anúncios vêm depois de relatos de que algumas dessas pessoas contratadas ouviram os usuários da Siri fazendo coisas como fazer sexo ou discutir informações médicas privadas. A Amazon não anunciou uma pausa em seu processo de deixar os...

Las aerolíneas deberán "apagar y encender" este avión cada 149 horas por un problema de software Las aerolíneas deberán "apagar y encender" este avión cada 149 horas por un problema de software

O que é que você deve fazer para aumentar o uso de um único dispositivo de $ 1000. Pero é feno de uma avenida comercial de mais de US $ 300 milhões? As aerolinhas que não haiam atualizado o software de todos os tipos de aeronaves Airbus A350 que apagam e encenam por completo a aviação a cada 149...

Você deve desinstalar o VLC agora.  Você tem uma séria falha de segurança Você deve desinstalar o VLC agora. Você tem uma séria falha de segurança

Devido à sua natureza de software livre e de código aberto, VLC É um dos media players multiplataforma mais populares e usados ​​no mundo, ou pode até ser o mais popular. Infelizmente, devido a uma falha de segurança recentemente descoberta no VLC e potencialmente muito séria, pode ser melhor desinstalar o player até que as pessoas no Projeto VideoLAN...

Google Muito irritado após vazamento do empreiteiro por mais de mil gravações de assistentes Google Muito irritado após vazamento do empreiteiro por mais de mil gravações de assistentes

Caso você esteja esperando que o Google não permita que os humanos ouçam gravações de voz do Google Home e do Assistente do Google, pare de fazer isso. Um dos humanos que o Google contratou para revisar gravações de voz recentemente vazou mais de mil gravações de Assistente para uma organização de notícias belga, que publicou uma matéria e...

AirPlay 2 vs Google Cast: o que você deve realmente usar AirPlay 2 vs Google Cast: o que você deve realmente usar

Apple e Google competem em uma série de áreas, desde sistemas operacionais móveis para plataformas de música Portanto, eles também têm protocolos de mídia de streaming concorrentes - algo que estamos ouvindo muito sobre na CES 2019. Mas como exatamente essas tecnologias funcionam? E como eles se comparam um com o outro? Aqui vamos orientá-lo sobre os detalhes do...

Language