Die Smart Locks von Tapplock wurden von Penetrationstestern vollständig getestet

Für ein Produkt, das mit über 300.000 US-Dollar unterstützt wurde Indiegogo – über 500 Prozent seines ursprünglichen Ziels – Tapplock hat eine schlechte Woche in der Sicherheitsabteilung. Insbesondere einige freundliche Hacker bei Partner für Pentests konnten das Bluetooth-fähige Smart Lock in Sekundenschnelle mit nur einem Mobiltelefon knacken.

Entsperrt

Digitale Trends schrieb über das Schloss und sein „modernster verschlüsselter Fingerabdrucksensor“ im Jahr 2016, aber das 100-Dollar-Smart-Schloss stellt sich heraus sowohl hinsichtlich seiner physischen Beschaffenheit als auch hinsichtlich seiner Sicherheit ziemlich anfällig für das Eindringen von Sicherheitskräften sein Plattform.

Empfohlene Videos

Erstens ist seine physische Beschaffenheit etwas beeinträchtigt. Sicher, ein Bolzenschneider kann durch das Schloss gehen wie ein heißes Messer durch Butter, aber das gilt für die meisten Schlösser auf dem Verbrauchermarkt. Ganz zu schweigen davon, dass das Schloss nicht einmal wasserdicht, sondern lediglich „wasserbeständig“ ist. Es stellte sich heraus, dass das Schloss aus einer Industrielegierung namens Zamak 3 besteht Zinkaluminium kommt häufiger in Druckgussspielzeugen und Türgriffen vor, ein Element, das nicht stabil, spröde ist und bei Temperaturen unter 800 Grad schmilzt Fahrenheit. Im Vergleich dazu brennt eine reine Luft-Lötlampe bei mehr als 3.600 Grad Fahrenheit, während eine mit Sauerstoff betriebene Taschenlampe bei mehr als 5.000 Grad brennt.

Aber das ist noch nicht alles, was die physische Sicherheit betrifft. Mehrere YouTuber haben bereits Videos hochgeladen, die die Fragilität des Schlosses demonstrieren. Am 1. Juni rief ein Benutzer an JerryRigEverything Mit einer klebrigen GoPro-Halterung konnte ich die Rückseite des Schlosses entfernen, es mit einem Schraubenzieher demontieren und den Bügel öffnen. Anschließend CNET habe den gleichen Trick ausprobiert und konnte das Schloss nicht aufbrechen, sodass die Frage, ob das Schloss physisch sicher ist, noch ungewiss ist.

In der Zwischenzeit hat Tapplock eine Erklärung abgegeben, dass alle künftigen Schlossserien proprietäre Schrauben in den Innenkammern als sekundären Schutzmechanismus verwenden werden. Das Unternehmen bietet außerdem jedem Kunden, dem es gelingt, die hintere Abdeckung zu knacken, ohne das Schloss zu beschädigen, kostenlosen Ersatz an.

TappLock-Serie: Ihr Fingerabdruck, Ihr TappLock

In der Zwischenzeit kämpft das Unternehmen mit dem größeren Problem, dass Pen-Test-Partner in die interne Software von Tapplock eindringen können weniger als zwei Sekunden. Der Vorgang dauerte für die Penetrationstester weniger als eine Stunde. Die Software sendete nicht nur über unverschlüsselte HTTP-Leitungen, sondern die Sperren verwendeten auch jedes Mal dieselben Daten. Jeder böswillige Akteur im selben Netzwerk kann den Datenverkehr ausspionieren, sich die Entsperrdaten schnappen und damit das Gerät dauerhaft entsperren. Für das Schloss gibt es keinen Werksreset.

„Dieses Maß an Sicherheit ist völlig inakzeptabel“ schrieb Andrew Tierny, Forscher bei Pen Test Partners. „Verbraucher haben etwas Besseres verdient, und es ist äußerst respektlos, seine Kunden so zu behandeln. Ehrlich gesagt fehlen mir die Worte.“

Als er über die Rückkehr informiert wurde, Tapplocks Unterstützer Pishon-Labor sagte Tierny: „Wir sind uns dieser Notizen durchaus bewusst.“

Anschließend gibt das Unternehmen bekannt, dass es seinen Qualitätssicherungsprozess verbessert und einen Sicherheitspatch herausbringt, um die Sicherheitslücke in der Software zu schließen. Zu den Qualitätssicherungsverfahren gehört jetzt eine zweistufige Inspektion, um sicherzustellen, dass der Feder-Stift-Mechanismus des Schlosses funktioniert effektiv, während ein Software-Patch das Sicherheitsprotokoll aktualisiert, das zusätzliche enthält Authentifizierungsschritte. Der Patch umfasst ein App-Update sowie ein Firmware-Update, das über die firmeneigene App verwaltet wird.

Pishon Labs bot ebenfalls an Danke an Pen Test Partners für „die rechtzeitige, schnelle und ethische Offenlegung“.

Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.