Een medewerker van Google, David Tomaschik, heeft kwetsbaarheden gevonden in de software van een beveiligingsleverancier van het Google-kantoor in het Californische Sunnyvale. Deze gaven hem controle over de deuren in het pand.

De medewerker zegt tegen Forbes dat hij op een gegeven moment het versleutelde netwerkverkeer van de apparaten van leverancier Software House nader had onderzocht. Hij stelde vast dat de berichten niet willekeurig waren, wat het geval zou moeten zijn bij juist toegepaste encryptie. Op die manier kwam hij erachter dat de software gebruikmaakte van een voorgeprogrammeerde encryptiesleutel. Dat betekende dat hij commando's kon vervalsen en kon herhalen. Zo was hij in staat om alle deuren in het pand aan te sturen en zo toegang te krijgen zonder de nodige rfid-kaart of andere Google-medewerkers de toegang te ontzeggen zonder dat dit sporen naliet.

Google zegt tegen Forbes dat het geen aanwijzingen heeft gevonden dat er misbruik van het lek is gemaakt. Het is onduidelijk of dit door een aanvaller van buitenaf was te misbruiken. Het bedrijf heeft naar aanleiding van de vondst besloten netwerksegmentatie toe te passen om nog kwetsbare apparaten af te schermen. Software House zegt dat het inmiddels maatregelen heeft genomen door tls toe te passen. Volgens Tomaschik vereist deze ingreep echter een hardwarewijziging aan de kant van de klant, omdat de Software House-systemen onvoldoende geheugen hebben om de firmware te kunnen updaten. Het bedrijf wilde daarop niet reageren.

Reacties mogelijk gemaakt door CComment