Hack av Yale smart alarm (sr-2100)

[Ravn]

Har hatt min yale doorman samt magnetsensorer og røykvarslere koblet mot en eldre "Yale Smart Alarm" i lengre tid.

 

Dette har irritert meg sykt at boksen har webinterface som vi som sluttbrukere ikke får tilgang til.

 

Så tenkte å få ordnet dette en gang for alle.

 

Etter å ha kikket på kretskortet så fant jeg to flash brikker, loddet av disse og dumpet innholdet.

Den ene innehold alle innstillinger i klartekst, inkludert til webinterfacet.

 

Webinterface lar deg gjør alt du kan gjøre via den elendige yale appen, og den lar deg fjerne koblingen mot Yale UK, så nå helt skyfritt.

Ser også ut som man kan legge inn post av events til en url eller mailadresse, så det blir neste å teste.

 

Vet jo ikke om alle enheter har samme passord eller om det er unikt per enhet, men hvis noen andre sitter på samme boks og vil prøve så send meg en melding.

 

Legger ved ett par bilder av interfacet om interresant (status viser ikke på enhetene da den nå ligger på labben min og ikke har dekning).

 

 

Endret 25. juli av Ravn

[Ravn]

Kjapp oppdatering om noen er interresert.

 

Webinterfacet bekreftet det jeg allerede hadde funnet ut, enheten kommuniserer med omverdenen via 3 metoder:

- SIA DC09 protokoll, som er standard protokoll mellom alarmanlegg og sentral. Data sendes ukryptert og inneholder en unik id og alle alarm events + doorman. Inkluderer også navn på person og sensorer i klartekst.

- XMPP, egentlig en chatte protokoll (jabber). Vet ikke hvilke data som sendes her, men mistenker det er samme som DC09, men i tillegg events som ikke utløser alarm. Må grave litt mer i dette. Den prater med xmpp://yalehomesystem.co.uk:5222 og chatter med brukeren "security_admin".

- HTTP Post. Bilder fra eventuelle kamera sendes via ukrpytert http post til http://mob.yalehomesystem.co.uk:8080/up-post.php

 

Så ikke veldig imponert over sikkerheten.

Selv har jeg fjernet alle adresse til Yale fra systemet (var allerede blokkert i brannmur), laget en enkel SIA DC09 server jeg skrev i php som mottar events, og henter resten av informasjonen web å parse ut statuswebsiden.

 

[Bjørn Mork]

veldig interessant! Er vel egentlig litt sjokkerende at de ikke i det minste har lagt sky-koblingene over TLS. Forventer både kryptering og toveis autentisering av slikt som dette og det hadde vært banalt å få til med både xmpp og http vha TLS

 

yalehomesystem.co.uk er heller ikke beskyttet av DNSSEC. Så det er altså null beskyttelse mot MITM her.  Håper alle med en slik dings stoler på ISPen sin.

[Ravn]

Såvidt jeg kan se er eneste toveis kommunikasjon via XMPP, så den er vel kryptert.

Men alarmeldingene kan man jo gjøre MIT på i eget anlegg og sende til egen SIA server.

Om man kjeder seg så kan man sende SIA meldinger til random accounts til yale så vil det gå pushmeldinger til sluttbrukere. Eneste identifikator på alarmanlegg er ett 7 siffret account number.

Når jeg leserver protokollbeskrivelsen så virker den ikke ment å gå direkte over internett. Står blandt annet at "The PE may have an option to use DNS to obtain the address of the CSR, however the installation is not compliant with this standard when the DNS option is enabled".  (PE=premises equipment, CSR=central station receiver).
 

Uansett så støtter protokollen kryptering og det er hårreisende at de ikke bruker den krypterte varianten, men veldig hendig når jeg skulle lage en egen server på lokal server.

 

(De skal ha $60 for standarden, men ett nettsøk fant fort 2017 utgaven liggende fritt på SIA sin egen side i en wp upload folder... https://www.securityindustry.org/wp-content/uploads/2017/10/dc09_r2021_20201027.pdf )

 

Endret 29. juli av Ravn

[Ravn]

Hele anlegget er jo noe jalla.

Blitt bedre nå når jeg har flytta det fra skya til min lokale tåke, men kan ikke kan se noe sted at enhetene "sjekker inn" med gitte intervaller.

 

Enheter som ikke blir brukt ofte, som feks brannvarslere, har jeg ikke sett noe data på.

Det var også en bekymring i Yale appen som ikke gav noen indikasjon på batteri eller om den hadde kontakt med brannvarslere. Så jeg har byttet batteri hvert år og testet på gamlemåten.

Tok ut batteriet i en av brannvarslerene for 3 dager siden, og enda ikke kommet inn noen feil/melding i web. Viser fremdeles med signalstyrke i webben.

 

Så det jeg holder på å integrere nå er at dersom en sensor ikke har sjekket inn på 30 dager så får jeg utropstegn på den i mitt smarthus. Alle enheter har en testknapp, og den meldingen sendes til SIA serveren, så får jeg utroppstegn må jeg aktivere sensoren med testknappen (eventuelt åpne døren om det er en magnetsensor).

 

Når jeg ser hvor dårlig kommunikasjonen ut av huset er så tenker jeg at komm. mellom sensorer og sentral er like dårlig.

Lurer på hvor enkelt dette hadde vært å åpnet yale låsen via zigbee? Men skal noen inn er det lettere å knuse vinduet ved siden av uansett.

 

 

[Evelen]

Skulle gjerne brukt låsen min med zigbee.

I dag har jeg yale lås og bruker forrige eiers pin da jeg ikke har noe å koble den mot.

Har sett det har vært forsøk på integrasjon på zigbee2mqtt githuben, men der mangler de en krypteringsnøkkel som antakelig hentes fra nettet (ikke lagret lokalt)

[Ravn]

Har ikke hatt noen behov for å fjernstyre låsen, men nå kan jeg via lokale admin siden, der kan man også administrere brukere/kort.

Status på dør (åpen/lukket, låst/ulåst) og alle events kan man hene ut via event meldinger eller parse websiden. Samme om du vil styre den fra ekstern løsning.

 

Men har fått bekreftet via andre her at admin passordet ikke er likt på hver boks, så det blir nok generert på ett vis ved produksjon. Det passer bra med at det lå lagret i flash brikken sammen med brukere jeg hadde lagt inn.

 

Men det er da en mulighet å kjøpe seg en gammel yale pakke på finn og kjøre samme løsning som meg. Kjapt gjort om du har utstyret.
Brikken som må loddes av for å leses er en enkel SOIC8, men godt mulig den kan leses uten å loddes av også.

Så må du jo ha en programmerer/leser som kan lese brikken selvfølgelig.