CVE-2022-32506

Un atacante con acceso físico al circuito de las cerraduras inteligentes Nuki puede usar funciones de depuración para controlar el procesador del dispositivo, acceder o modificar su firmware y datos almacenados. Esta vulnerabilidad requiere abrir el dispositivo, pero permite comprometer completamente la seguridad de la cerradura.

La vulnerabilidad explota interfaces SWD (Serial Wire Debug) expuestas en dispositivos Nuki afectados, permitiendo a un atacante con acceso físico depurar el procesador ARM, leer/escribir memoria flash interna y externa, y modificar la ejecución del firmware. Afecta Smart Lock 2.0, 3.0 y Bridge v1/v2 anteriores a las versiones de parche especificadas, posibilitando ejecución arbitraria de código y extracción de credenciales.