Jopa tietoturvaan panostaminen ei välttämättä tarkoita turvallista laitetta, F-Secure todisti älylukon murtaessaan.

Kännykällä ohjattava ja yksityisasunnoissa käytetty KeyWe Smart Lock -niminen älylukko on haavoittuva, eikä sitä voi edes korjata jälkikäteen. Näin kertoo suomalainen tietoturvayhtiö F-Secure, joka perehtyi lukon toimintaan syvällisesti.

F-Secure pystyi sieppaamaan lukitusta ohjaavan salaisen tunnuslauseen. Sieppauksessa käytettiin hyväksi lukon puutteellisesti suunniteltuja tietoliikenneprotokollia. Se mahdollisti vakoilemisen, kun fyysinen laite ja mobiilisovellus vaihtoivat tietoja keskenään.

Viime kädessä murtamisen mahdollisti suunnitteluvirhe tuotteessa, jonka turvallisuuteen oli sinänsä satsattu eri tavoin. F-Securen mukaan kotien ovet avautuvat murtovarkaalle melko vähällä vaivalla.

– Hyökkääjä tarvitsee vain hieman tietotaitoa, halvan, yleisesti saatavilla olevan laitteen tietoliikenteen sieppaamiseen ja hieman aikaa lukon omistajien etsimiseen, sanoo F-Securen kyberturvallisuuskonsultti Krzysztof Marciniak tiedotteessa.

Koska lukkoa ei ole mahdollista päivittää siihen lähetettävällä ohjelmistopäivityksellä, omistajan ainoa vaihtoehto on vaihtaa lukko uuteen tai hyväksyä mahdollinen riski. Valmistaja on luvannut korjata virheen uusista lukoista, mutta aikataulu on epäselvä.

Kyseessä ei ole suinkaan ensimmäinen älylukko, josta on paljastunut vakavia ongelmia. Esimerkiksi vuonna 2016 kaksi muuta tutkijaa onnistui murtamaan 12 älylukkoa 16:sta testatusta työkaluilla, jotka maksoivat alle 200 dollaria.

Tilanne pistää ostajan tukalaan tilanteeseen: Ostaako älylukko, joka voi olla haavoittuva mutta joka voi silti osata hälyttää automaattisesti murtoyrityksistä? Vai ostaako perinteinen lukko, jossa ei varmasti ole haavoittuvaa ohjelmistoa mutta jonka murtamisesta ei lähde hälytystä minnekään?

Ongelma on vain pieni osa esineiden internetin monien mielestä huolestuttavaa leviämistä. F-Securen tutkimusjohtaja Mikko Hyppönen varoitti äskettäin uudesta aallosta nettiyhteydellä varustettuja laitteita, joiden tavoitteena on kerätä tietoa käyttäjistään. Laitteet ovat myös usein huonosti suojattuja.

– Jokainen verkkoon kytketty laite on hakkeroitavissa, Hyppönen julisti.