Her hacker han opp pakke­­boksen

To nordmenn har lenge kunnet åpne hvilken som helst Posten- og PostNord-pakkeboks. Nå jobbes det på spreng for å tette hullet. 

Her står kameraten til UnblvR ved en pakkeboks i Oslo, som han enkelt åpner opp fra mobilen, helt uten Postens egen app.
Ole Petter Baugerød Stokke
redaktør, kode24.no
Publisert

– Jeg bor i et borettslag, og plutselig dukka det opp en pakkeboks hos oss. Jeg så at den kobla seg på Bluetooth, og jeg begynte å lure på hvordan de gjør dette på en sikker måte. 

Det forteller UnblvR til kode24. Han ønsker ikke å gå ut med fullt navn på trykk, men jobber med sikkerhet på dagtid, og driver med CTF og etisk hacking under UnblvR-navnet på fritida. 

– Jeg fikk en mistanke om at det ikke var så stor sikkerhet i chippene i de pakkeboksene, forteller han videre, og det skulle han få rett i: 

Dette er historien om hvordan han og en kompis i lang tid har kunnet åpne hvilken som helst luke, i hvilken som helst pakkeboks fra Posten og PostNord, hvor som helst i landet, fra mobilene sine. 

Samla mest mulig info

Pakkeboksene og hele det tekniske rigget rundt dem kommer fra danske Swipbox

Som kode24 tidligere har fortalt, er Posten- og PostNord-appene du bruker for åpne pakkeboksene bare skall for Swipbox sine løsninger. Pakkeboksene går på batteri, er ikke kobla på internett, og kommuniserer bare mot kundens mobil gjennom Bluetooth Low Energy på brikkene fra norske Nordic Semiconductor

Pakkeboksene til Posten og PostNord leveres av Swipbox.

Spørsmålet UnblvR og kameraten satt med var nøyaktig hvordan dette fungerte, og veien dit skal ha tatt «et par helger»:

  • Utviklerne kobla seg på pakkeboksene og leste av Bluetooth-kommunikasjonen mellom Android-mobilenene deres og boksen med nRF Connect. De leste også av trafikken mot internett fra appene, som hva slags API-er appene brukte og hvilken data de sendte. 

  • De plukka fra hverandre appene til Posten og PostNord, ved å "reverse engineer-e" APK-filene til Android-appene.

  • De leste seg opp på alt de fant rundt pakkeboksene, blant annet artikler her på kode24 og patenter. De sjekka også LinkedIn-profilene til Swipbox-ansatte, hvor utviklere fortalte om teknologiene de brukte for å utvikle pakkeboksene.
  • Alt dette ble gjort for å finne formatet på meldinger av typen "åpne luke X", hvilken sikkerhet som var på plass, og hva de trengte for å eventuelt gjenskape appenes funksjoner fra sin egen løsning.

Alt ble selvfølgelig gjort i beste mening, blant annet under PostNord sin "Vulnerability Disclosure Policy" (VDP), med mål om å varsle om eventuelle sårbarheter  – ikke utnytte dem selv. 

Da vi trodde vi hadde skjønt alt, betalte vi Posten for å sende en pakke.

Knakk svak nøkkel

– Vi fant mest mulig info, og samla det sammen for å lage en antakelse om hvordan dette fungerte, forklarer UnblvR.

Ett av de viktigste funnene i prosessen var at sikkerheten stod og falt på en offentlig 512-bits RSA-nøkkel – én for PostNord-boksene, én for Posten-boksene. 

RSA-nøkler på bare 512 bits ble knekt allerede i 1999, og blir ikke ansett å være sikre å bruke i 2025. Det fikk utviklerne raskt se at de heller ikke er:

De leide seg en server på nett, brukte offentlig tilgjengelig programvare – og på under ett døgn, for under femtilappen, var pakkeboks-nøklene knekt. 

– Da vi trodde vi hadde skjønt alt, betalte vi Posten for å sende en pakke, og gikk til pakkeboksen for å prøve å åpne luka vi hadde fått tildelt, fra vår egen løsning, forteller UnblvR.

– Og det fikk vi til. 

Sånn ser appen ut, som med en knekt nøkkel lar utviklerne åpne opp hvilken som helst luke i hvilken som helst upatcha pakkeboks hos Posten og PostNord.

Sånn fungerer angrepet

Løsningen de nå sitter med – gjennom en egen nettside på mobilen, som ikke er tilgjengelig for andre – er såre enkel i bruk. 

kode24 får den demonstrert på en Posten-pakkeboks i Oslo: 

  1. De kobler seg på hvilken som helst Posten eller PostNord-pakkeboks gjennom Bluetooth. 
  2. Så velger de hvilken luke de vil åpne – eller velger å åpne alle sammen.
  3. Og så gjør de nettopp det. 

    4. Under kode24s demo åpner de selvfølgelig en luke de selv har betalt for å sende en pakke fra, så vi vet at den ikke tilhører andre. 

Her ser du appen i bruk:

Løsningen var klar i februar, og de to nordmennene tok umiddelbart kontakt med både Swipbox, Posten og PostNord. 

Etter det som skal ha vært mye fram og tilbake, fikk de beskjed fra alle om at folk var på saken, og en dusør ble utbetalt fra Swipbox. Siden skal de ikke ha hørt stort fra noen av dem. 

Har oppdatert krypteringen

– Helt ærlig, så var det med litt blandene følelser vi fikk beskjeden. 

Det sier IT-sjef Stephan Valkær i det danske selskapet Swipbox, når vi spør hvordan da nordmennene tok kontakt med dem. 

– Vi burde selvfølgelig selv ha funnet denne sårbarheten, men vi var også glade for at den ble oppdaget, så vi kan få gjenoppretta sikkerheten i systemet vårt med hjelp fra en vennlig ekspert. 

– Hvorfor har dere brukt RSA-nøkler på bare 512 bits?

– Den avgjørelsen ble tatt i 2017 eller 2018, da vi utvikla Infinity-pakkeboksen vår. Da ble krypteringen vurdert som tilstrekkelig sikker. Siden har utviklinga vist noe annet, og vi skulle selvfølgelig ha oppgradert krypteringen til noe mer oppdatert tidligere. Men det har vi gjort nå, svarer Valkær. 

Swipbox mener de har oppdatert over 90 prosent av pakkeboksene, men disse, i Oslo, var åpne for angrepet da kode24 fikk det demonstrert tidligere i sommer.

Han vil ikke gi detaljer, men Swipbox mener å ha oppdatert «praktisk talt alle» pakkeboksene sine gjennom våren og sommeren, med en sikrere kryptering. De skal også ha oppdatert interne rutiner, for å bli flinkere på blant annet egen penetrasjonstesting. 

– Hvor trygge er pakkeboksene deres nå?

– Vi opplever at våre pakkebokser leverer høy sikkerhet. Selv om pakkebokser ikke er pengeautomater, skal sikkerheten likevel være på topp. 

Fortsatt ikke i boks

Swipbox anslår å ha oppdatert over 90 prosent av de tusenvis av pakkeboksene vi har her til lands.

kode24s demonstrasjon av angrepet ble gjort i juni – da var det ikke noe problem å finne pakkebokser i Oslo å kjøre angrepet på. 

Og når UnblvR tar en sjekk før vi publiserer denne artikkelen, i sin egen hjemby midt i august, finner han fortsatt flere sårbare pakkebokser – ved å sjekke firmware-versjonen gjennom Bluetooth. 

– Det er et tidsspørsmål før andre finner ut dette her. Før noen med verre intensjoner enn oss gjør det samme, sier UnblvR til kode24. 

– Kostnaden av å leie en server for å knekke koden er rundt 50 kroner. Det tjener du godt inn, om du raider bare én pakkeboks. 

Det er et tidsspørsmål før andre finner ut dette her.

Dette skal være den eneste måten å få åpna en pakkeboks på.

Posten: "Veldig uheldig"

– Vi mener selvsagt at det skal være lav innbruddsrisiko i våre bokser, og det er viktig for oss, så vi synes det er veldig uheldig at dette har vært teknisk mulig, sier avdelingsdirektør Håvard Femtehjell i Posten til kode24

Både Posten og PostNord forteller kode24 at de tok varselet på alvor, og umiddelbart starta arbeidet med å få Swipbox til å løse problemet. 

Posten er enig med Swipbox sitt anslag, på at de nå har oppdatert over 90 prosent av pakkeboksene deres, og håper alle skal være patcha i løpet av august. Mens PostNord ikke vil gi ut tall for hvor langt de har kommet. 

Da pakkeboksene ikke er kobla på nett, er dette en stor, manuell jobb utført av Swipbox sine teknikere, som fysisk må ut til hver enkelt boks.

– Norge er et land med store avstander og innimellom krevende vær, så det har vært er en betydelig praktisk jobb knyttet til å gjøre oppdateringene, sier Femtehjell.

PostNord: "Kjent svakhet"

PostNord hevder at de allerede visste om svakheten da de fikk varselet i februar, gjennom sin egen penetrasjonstesting.

– Denne svakheten ble ikke ansett som kritisk eller å ha høy alvorlighetsgrad, basert på CVE-standarden vi brukte for å evaluere den, forteller CISO i PostNord Group, Erkan Kahraman, men påpeker at de har tatt svakheten og varselet fra nordmennene på alvor, og sørga for å få den tetta.

– Hvor trygt er det, sånn dere ser det, å bruke pakkeboksene til Posten i dag?

– Vi opplever at pakkeboksene er en trygg kanal for pakker, både for nettbutikkene og forbrukerne, med svært lav andel saker knyttet til tap og skade, svarer Femtehjell i Posten.

– Vi har så langt ikke hatt noen konkrete hendelser med pakkene våre som kan spores tilbake til denne sikkerhetsutfordringen, og det er vi selvsagt veldig glade for.

De norske utviklerne anser oppdaterte pakkebokser som trygge, men ser ikke bort fra at det finnes andre måter å bryte seg inn i dem på.

"Bra nok"

UnblvR og kameraten har venta lenge med å gå offentlig ut med funnene sine, og kode24 varsla Swipbox, Posten og PostNord nærmere to måneder før vår publisering. 

Men etter å ha venta siden februar, synes de to utviklerne at selskapene har fått mer enn nok tid på seg. 

– Anser du de oppdaterte pakkeboksene som trygge?

– Vi ser at de har fått seg en lengre nøkkel. Den kan kanskje knekkes av NSA, men ikke hobbyister, vi har ikke prøvd engang, svarer UnblvR.

– Så problemet er løst?

– Ja. Det er fortsatt ikke den beste krypteringa i verden, men bra nok til formålet. Spørsmålet nå, er om det eventuelt finnes andre måter å angripe dem på.

swipbox postnord artikkel bluetooth hack hacking pakkeboks posten sikkerhet
Powered by Labrador CMS