A situação foi revelada ao público no final de agosto e, por sorte, foi descoberta por um funcionário do próprio Google. Durante a conferência hackers IoT Village, David Tomaschik contou como descobriu que pessoas sem o cartão de segurança RFID poderiam abrir as portas do escritório.
Tudo começou quando ele decidiu testar a segurança do sistema e enviar um código malicioso pela rede da empresa. Após a tentativa, percebeu que as luzes das portas passaram de vermelho para verde, indicando que elas haviam sido destrancadas. A brecha estava em dois produtos fabricados pela Software House, responsável pelas portas: iStar Ultra e IP-ACM. Eles se comunicavam com os leitores de crachás e usavam a rede do Google para enviar mensagens criptografadas. Porém, de acordo com a análise de Tomaschik, o conteúdo não era totalmente aleatório, como deveria ocorrer para serem mais seguros. Além disso, a mesma chave de criptografia era usada em todos os dispositivos da Software House. Isso significa que seria possível um cibercriminoso ter controle sobre várias portas com o mesmo código usado no primeiro ataque. Para piorar a situação, os comandos de abrir ou trancar uma porta não deixavam rastros, ou seja, os funcionários poderiam ficar trancados para fora e ninguém conseguiria identificar o responsável. Depois de saber da falha de segurança, o Google agiu para prevenir possíveis ataques. A empresa segmentou sua rede para oferecer mais proteção e disse que não há evidências de que as falhas tenham sido aproveitadas por hackers maliciosos. Já a Software House adotou o padrão de criptografia TLS em seus produtos. O erro, porém, não poderá atender clientes antigos, já que os sistemas não têm memória suficiente para garantir a instalação de um novo firmware. Uma saída seria realizar o reparo pessoalmente, o que pode não ocorrer. À Forbes, a empresa disse que avisou os usuários sobre a falha de segurança, mas não garantiu que os dispositivos passarão por uma correção. Com informações: Forbes, ZDNet.
