Kritisk feil i porttelefoner: Kan «enkelt» snike seg inn uten kode

Rammer mange bygg i Norge.

Niklas Plikk

Lagre artikkel

Den norske sikkerhetsselskapet Promon sier de har funnet en sårbarhet som «enkelt» kan utnyttes i en rekke porttelefoner brukt i Norge.

I praksis må angriperen bare legge mobilen sin inntil porttelefonen, og minutter senere har han tilgang til porttelefonens data og kan snike seg inn.

Feilen gjelder en rekke nyere modeller fra det japanske selskapet Aiphone, som brukes av både borettslag og andre større bygg i Norge.

Dette bekrefter også Qualitronics overfor Tek.no, som er leverandør av Aiphone-porttelefoner her i landet:

– Qualitronic har vært leverandør av Aiphone porttelefon siden 1990, og har siden den tid levert ca 1000 dørstasjoner årlig. Hvorav et fåtall av disse dørstasjonene har denne sårbarheten, skriver Geir Jubal-Andersen, daglig leder hos Qualitronic i en e-post til Tek.no.

Qualitronic anslår at omtrent 10 til 15 prosent av porttelefoner i Norge er levert av Aiphone.

Vi har også observert flere av de rammede modellene på flere bygninger i Oslo sentrum, slik som denne:

Sårbarheten gjelder bare nyere porttelefoner fra Aiphone, laget i 2017 eller senere. Dette er fordi det bare er deres nye modeller som er utstyrt med NFC-teknologi for å kunne trådløst åpnes via nøkkelkort eller mobiler.

Det var via NFC-leseren i porttelefonen at sikkerhetsforsker Cameron Lowell Palmer hos Promon klarte å komme seg inn. Og det var ganske tilfeldig at han fant feilen også.

– Vel, jeg kjøpte en leilighet som var koblet til et OBOS-bygg, hvor jeg så de brukte denne porttelefonen. Jeg begynte å lese meg opp på dokumentasjonen rundt den, og fikk inntrykk av at sikkerheten ikke var særlig god, så da begynte jeg å grave.

Det han skulle oppdage var at det ikke var lagt inn noen sperre for antall pinkode-spørringer mot terminalen via NFC. Det var også en begrensning på at pinkoden kun kunne være fire siffer.

Dermed kunne han lage et enkelt system som sendte spørringer fra mobilen med firesifrede pinkoder via NFC til porttelefonen. Først 0000. Så 0001. Så 0002. Med flere spørringer i sekundet går den raskt igjennom alle mulige tallkombinasjoner, helt til den har funnet riktig kode. I løpet av cirka ti minutter kunne hele tallrekken bli sjekket. Er pinkoden et lavt tall, vil den oppdages mye raskere.

– Så fort man har koden er det mulig å injisere serienummeret til en ny NFC-brikke inn i systemet, noe som gir angriperen både adminstratorkoden og en NFC-brikke som kan brukes for å få tilgang til bygningen når som helst, skriver Promon i en pressemelding.

Aiphone ble gjort oppmerksom på feilen i 2021, og har siden den gang fikset feilen på alle porttelefoner de har sluppet siden da. Men for eldre modeller - laget mellom 2017 og 2021 - er det ingen mulighet å fikse feilen, bortsett fra å bytte hele porttelefonen.

– Vi anser ikke dette som en kritisk problemstilling, da man må være veldig datakyndig for å kunne utnytte denne sårbarheten, sier Jubal-Andersen.

Utviklingssjefen i Promon, Jan Vidar Krey, sier seg enig i at dette ikke nødvendigvis er noe absolutt alle kan gjøre, men at det likevel er svært vanlig utstyr som brukes for å komme seg forbi sikkerheten til Aiphones porttelefoner:

– Vi brukte ikke veldig lang tid på å lage appen, rett og slett fordi det ikke var særlig vanskelig. Dermed kan man forvente at flere har gjort det samme, og at informasjonen kan være kjent i kriminelle miljøer. Det var også derfor vi jobbet med Aiphone i fjor for å patche problemet, og gjør huseiere oppmerksomme på at det er en risiko, forteller Krey på telefon til Tek.no.

Qualitronics at de skal bytte ut porttelefonene som er rammet for alle som ønsker det:

– Hvis kunden anser dette som en stor risiko og ønsker utskiftning av enheten så vil Aiphone tilby nytt produkt med oppdatert firmware.

Dette er noe Jan Vidar Krey oppfordrer alle å gjøre:

– Hvis du har en porttelefon med en NFC-leser som kan omprogrammeres av hvem som helst så oppfordrer vi helt klart om å oppgradere den snarest, avslutter Krey.

Dette er noe trolig det nevnte Obos-bygget vil gjøre.

– Vi mener det vil være en fornuftig løsning, skriver Thomas Skjennald, kommunikasjonsdirektør hos Obos, til Tek.no.

Han påpeker likevel at det ikke vil være Obos sentralt som tar denne avgjørelsen:

– Styrene i de selvstendige boligselskapene (borettslagene) som har slike porttelefoner, må selv gjøre sine vurderinger om de ønsker å benytte seg av
tilbudet om gratis bytte til en utbedret modell, sier Skjennald.

Skulle de bestemme seg for å gjøre det, vil Obos være behjelpelig med å kartlegge hvilke boligselskaper som er berørt av problematikken.