Um engenheiro do Google descobriu uma vulnerabilidade em um sistema de controle de acesso a portas gerenciado por terceiros no campus de Sunnyvale, na Califórnia. Ele aproveitou a oportunidade para provar que poderia burlar qualquer fechadura controlada por chaves eletrônicas RFID no local.

• Empresa oferece implante gratuito de microchip a funcionários para controlá-los ainda mais
• China empregará chips de identificação em carros para governo monitorar cidadãos em estradas

De acordo com a reportagem da revista Forbes, o funcionário David Tomaschik descobriu que os dispositivos da Software House conectados à rede do Google usavam uma chave de criptografia insegura e iniciou um ataque para provar as possíveis consequências para o sistema inseguro:

No verão passado, quando Tomaschik deu uma olhada nas mensagens criptografadas que os dispositivos da Software House (chamados iStar Ultra e IP-ACM) que eram enviadas por meio da rede do Google, ele descobriu que elas não eram aleatórias; as mensagens criptografadas deveriam sempre parecer aleatórias se fossem protegidas corretamente. Ele ficou intrigado e pesquisando mais a fundo descobriu que a chave de criptografia “codificada” era utilizada por todos os dispositivos da Software House. Isso significava que ele poderia replicar efetivamente a chave e forjar comandos, como pedir para que uma porta se destrancasse. Ou ele poderia simplesmente reproduzir comandos legítimos para destrancar, o que tinha praticamente o mesmo efeito.

Tomaschik também conseguiu utilizar o seu conhecimento da vulnerabilidade para impedir que outros funcionários do Google acessassem partes dos prédios. Pior do que isso, ele fez tudo isso sem deixar nenhuma pista:

Tomaschik descobriu também que ele poderia fazer tudo isso sem deixar nenhum registro de suas ações. E ele poderia impedir que funcionários do Google abrissem portas. “Uma vez que eu descobri essas coisas, elas se tornaram uma prioridade. Era bem delicado”, disse ele à Forbes. O Google então agiu rápido para prevenir ataques em seus escritórios, de acordo com Tomaschik.

A companhia disse à Forbes que não possuem nenhuma evidência de que algum hacker malicioso tenha explorado a vulnerabilidade antes da descoberta de Tomaschik. Os projetos dos dispositivos da Software House já foram atualizados para aumentar a segurança, embora os aparelhos originais não possam ser atualizados por qualquer método que não seja a substituição do hardware em si, devido a restrições de memória.

É fácil enxergar por que essa questão é importante: existe toda uma preocupação com a segurança dos funcionários do Google e, além disso, existem poucas fabricantes de sistemas de seguranças com chaves RFID. Na prática, isso significa que a vulnerabilidade da Software House provavelmente está presente em uma porcentagem alarmante de fechaduras de outras marcas.

[Forbes]

Imagem do topo: Leon Neal/Getty Images