بالنسبة لمنتج تم دعمه بأكثر من 300000 دولار إنديجوجو — أكثر من 500 بالمائة من هدفه الأصلي — يواجه Tapplock أسبوعًا سيئًا في قسم الأمن. على وجه التحديد، بعض المتسللين ودية في شركاء اختبار القلم تمكنوا من كسر القفل الذكي الذي يدعم تقنية Bluetooth في ثوانٍ باستخدام الهاتف الخليوي فقط.
مفتوحة
الاتجاهات الرقمية كتب عن القفل و"مستشعر بصمة الإصبع المشفر المتطور" في عام 2016، ولكن تبين أن القفل الذكي الذي تبلغ قيمته 100 دولار تكون عرضة للاختراق الأمني، سواء من حيث تركيبها المادي أو أمنها منصة.
مقاطع الفيديو الموصى بها
أولا، تكوينها الجسدي معرض للخطر إلى حد ما. من المؤكد أن زوجًا من قواطع البراغي يمكن أن يمر عبر القفل مثل السكين الساخن من خلال الزبدة ولكن هذا ينطبق على معظم أقفال السوق الاستهلاكية. ناهيك عن أن القفل ليس مقاومًا للماء ولكنه مجرد "مقاوم للماء". اتضح أن القفل مصنوع من سبيكة صناعية تسمى زاماك 3، مكونة من يوجد ألومنيوم الزنك بشكل شائع في الألعاب المصبوبة ومقابض الأبواب، وهو عنصر غير قوي وهش ويذوب عند درجات حرارة أقل من 800 درجة. فهرنهايت. وبالمقارنة، فإن شعلة اللحام التي تعمل بالهواء فقط تشتعل عند درجة حرارة تزيد عن 3600 درجة فهرنهايت، بينما تشتعل الشعلة التي تعمل بالأكسجين عند درجة حرارة تزيد عن 5000 درجة.
ولكن هذا ليس كل شيء على جبهة الأمن المادي. لقد قام العديد من مستخدمي YouTube بالفعل بنشر مقاطع فيديو توضح هشاشة القفل. في 1 يونيو، اتصل أحد المستخدمين JerryRigEverything تمكن من استخدام حامل GoPro اللاصق لإزالة الجزء الخلفي من القفل، وتفكيكه باستخدام مفك البراغي، وفتح القيد. وفي وقت لاحق، سي نت حاولت نفس الخدعة ولم يتمكن من كسر القفل، لذا فإن ما إذا كان القفل آمنًا ماديًا لا يزال غير مؤكد.
في غضون ذلك، أصدرت Tapplock بيانًا مفاده أن جميع دفعات القفل المستقبلية ستستخدم براغي خاصة في الغرف الداخلية كآلية حماية ثانوية. تقدم الشركة أيضًا بدائل مجانية لأي عميل قادر على كسر الغطاء الخلفي دون إتلاف القفل.
سلسلة TappLock: بصمة إصبعك، TappLock الخاص بك
وفي الوقت نفسه، تتعامل الشركة مع المشكلة الأكبر المتمثلة في قدرة Pen Test Partners على اختراق برنامج Tapplock الداخلي في أقل من ثانيتين. استغرقت العملية من مختبري الاختراق أقل من ساعة. لم يكن البرنامج يبث عبر خطوط HTTP غير مشفرة فحسب، بل كانت الأقفال تستخدم نفس البيانات في كل مرة. يمكن لأي جهة فاعلة سيئة على نفس الشبكة التعرف على حركة المرور، والاستيلاء على بيانات إلغاء القفل، واستخدامها لفتح قفل الجهاز إلى الأبد. لا يوجد إعادة ضبط المصنع للقفل.
"هذا المستوى من الأمن غير مقبول على الإطلاق" كتب الباحث في Pen Test Partners أندرو تيرني. "المستهلكون يستحقون الأفضل، ومعاملة عملائك بهذه الطريقة أمر غير محترم إلى حد كبير. لأكون صادقًا، لقد فقدت الكلمات”.
عندما علم بالظهر، مؤيد Tapplock معمل بيشون قال لتيرني: "نحن ندرك جيدًا هذه الملاحظات".
وفي وقت لاحق، تقول الشركة إنها تعمل على ترقية عملية ضمان الجودة الخاصة بها وطرح تصحيح أمني لمعالجة ثغرة البرمجيات الخاصة بها. تتضمن إجراءات ضمان الجودة الخاصة بها الآن فحصًا من خطوتين للتأكد من سلامة آلية القلم الزنبركي للقفل فعال، بينما يقوم تصحيح البرنامج بترقية بروتوكول الأمان الذي يتضمن بروتوكولات إضافية خطوات المصادقة. ويتضمن التصحيح تحديثًا للتطبيق بالإضافة إلى تحديث للبرنامج الثابت، ويتم إدارته عبر التطبيق الخاص بالشركة.
كما عرضت مختبرات بيشون شكرًا إلى شركاء اختبار Pen من أجل "الإفصاح الفوري والأخلاقي في الوقت المناسب".
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
