For et produkt, der er blevet støttet til over $300.000 på Indiegogo — over 500 procent af sit oprindelige mål — Tapplock har en dårlig uge i sikkerhedsafdelingen. Nærmere bestemt nogle venlige hackere kl Pen Test Partnere var i stand til at knække den Bluetooth-aktiverede smartlås på få sekunder ved kun at bruge en mobiltelefon.
Ulåst
Digitale trends skrev om låsen og dens "banebrydende krypterede fingeraftrykssensor" tilbage i 2016, men den smarte lås på $100 viser sig at være ret sårbar over for sikkerhedsgennemtrængning, både med hensyn til dens fysiske sammensætning og dens sikkerhed platform.
Anbefalede videoer
For det første er dens fysiske makeup noget kompromitteret. Selvfølgelig kan et par boltskærere gå gennem låsen som en varm kniv gennem smør, men det gælder for de fleste låse på forbrugermarkedet. Husk, at låsen ikke engang er vandtæt, men blot "vandtæt". Det viser sig, at låsen består af en industriel legering kaldet Zamak 3, der består af zinkaluminium, der oftest findes i trykstøbt legetøj og dørhåndtag, et element, der ikke er stærkt, er skørt og smelter ved temperaturer under 800 grader Fahrenheit. Til sammenligning brænder en luftblæser ved mere end 3.600 grader F, mens en iltforsynet fakkel fyrer op ved mere end 5.000 grader.
Men det er ikke alt på den fysiske sikkerhedsfront. Flere YouTubere har allerede lagt videoer op, der demonstrerer låsens skrøbelighed. Den 1. juni ringede en bruger JerryRigAlt var i stand til at bruge en klæbrig GoPro-montering til at fjerne bagsiden af låsen, afmontere den med en skruetrækker og åbne bøjlen. Efterfølgende CNET prøvede det samme trick og kunne ikke bryde låsen, så om låsen er fysisk sikker er stadig i luften.
I mellemtiden har Tapplock udsendt en erklæring om, at alle fremtidige låsepartier vil bruge proprietære skruer i de indvendige kamre som en sekundær beskyttelsesmekanisme. Virksomheden tilbyder også gratis erstatninger til enhver kunde, der er i stand til at knække bagcoveret uden at beskadige låsen.
TappLock-serien: Dit fingeraftryk, din TappLock
I mellemtiden håndterer virksomheden den større hovedpine, at Pen Test Partners er i stand til at bryde Tapplocks interne software i mindre end to sekunder. Processen tog penetrationstesterne mindre end en time. Ikke alene udsendte softwaren over ukrypterede HTTP-linjer, men låsene bruger de samme data hver gang. Enhver dårlig aktør på det samme netværk kan snuse til trafikken, få fat i oplåsningsdataene og bruge dem til at låse enheden op til evig tid. Der er ingen fabriksnulstilling for låsen.
"Dette sikkerhedsniveau er fuldstændig uacceptabelt," skrev Pen Test Partners-forsker Andrew Tierny. “Forbrugerne fortjener bedre, og det er enormt respektløst at behandle dine kunder på denne måde. For at være ærlig er jeg fortabt for ord."
Når informeret om ryggen, Taplocks bagmand Pishon Lab fortalte Tierny, "Vi er godt klar over disse noter."
Efterfølgende siger selskabet, at det opgraderer sin QA-proces og skubber en sikkerhedspatch ud for at løse softwaresårbarheden. Dens QA-procedurer inkluderer nu en 2-trins inspektion for at sikre, at låsens fjederpen-mekanisme er effektiv, mens en softwarepatch opgraderer sikkerhedsprotokollen, der inkluderer yderligere autentificeringstrin. Patchen involverer en appopdatering samt en firmwareopdatering, der administreres via virksomhedens proprietære app.
Pishon Labs tilbød også tak til Pen Test Partners for "den rettidige hurtige og etiske offentliggørelse."
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
