Toote puhul, mille tagatis on üle 300 000 dollari Indiegogo — üle 500 protsendi oma algsest eesmärgist — Tapplockil on turvaosakonnas halb nädal. Täpsemalt, mõned sõbralikud häkkerid aadressil Pliiatsitesti partnerid suutsid Bluetooth-toega nutika luku sekunditega lahti murda, kasutades ainult mobiiltelefoni.
Lukustamata
Digitaalsed suundumused kirjutas lukust ja selle tipptasemel krüpteeritud sõrmejäljeandur 2016. aastal, kuid 100-dollarine nutikas lukk osutub olema turvalisuse tungimise suhtes üsna haavatav nii selle füüsilise ülesehituse kui ka turvalisuse osas platvorm.
Soovitatavad videod
Esiteks on selle füüsiline ülesehitus mõnevõrra ohustatud. Muidugi võib paar poldilõikurit lukust läbi minna nagu kuum nuga võist, kuid see kehtib enamiku tarbijaturu lukkude kohta. Ärge unustage, et lukk pole isegi veekindel, vaid lihtsalt "veekindel". Selgub, et lukk koosneb tööstuslikust sulamist nimega Zamak 3, mis koosneb tsink-alumiinium, mida leidub sagedamini survevalatud mänguasjades ja ukselinkides, element, mis pole tugev, on rabe ja sulab temperatuuril alla 800 kraadi Fahrenheiti järgi. Võrdluseks, ainult õhuga puhur põleb temperatuuril üle 3600 kraadi F, samas kui hapnikuga toidetav põleti põleb üle 5000 kraadi.
Kuid see pole veel kõik füüsilise turvalisuse rindel. Mitmed YouTube'i kasutajad on juba üles pannud videod, mis demonstreerivad luku haprust. 1. juunil helistas kasutaja JerryRigKõik suutis kasutada kleepuvat GoPro kinnitust, et eemaldada luku tagaosa, see kruvikeerajaga lahti võtta ja avada seekli. Seejärel CNET proovis sama trikki ja ei suutnud lukku lõhkuda, nii et see, kas lukk on füüsiliselt turvaline, on endiselt õhus.
Vahepeal on Tapplock väljastanud avalduse, et kõik tulevased lukupartiid kasutavad sisekambrites sekundaarse kaitsemehhanismina patenteeritud kruvisid. Ettevõte pakub ka tasuta asendusi igale kliendile, kes suudab tagakaane lukku kahjustamata lõhkuda.
TappLocki seeria: teie sõrmejälg, teie TappLock
Samal ajal tegeleb ettevõte suurema peavaluga, kuna Pen Test Partners on suutnud Tapplocki sisemise tarkvara sisse murda. vähem kui kaks sekundit. Protsess võttis läbitungimistestidel vähem kui tunni. Tarkvara ei edastanud mitte ainult krüptimata HTTP-liinide kaudu, vaid lukud kasutavad iga kord samu andmeid. Iga halb tegutseja samas võrgus võib nuusutada liiklust, haarata avamisandmed ja kasutada neid seadme igaveseks avamiseks. Luku tehaseseadetele ei lähtestatud.
"Selline turvalisuse tase on täiesti vastuvõetamatu," kirjutas Pen Test Partnersi teadlane Andrew Tierny. „Tarbijad väärivad paremat ja klientide selline kohtlemine on väga lugupidamatu. Ausalt öeldes olen sõnadest kadunud.
Kui teavitatakse tagaküljest, on Tapplocki toetaja Pishon Lab ütles Tiernyle: "Oleme neist märkmetest hästi teadlikud."
Seejärel ütleb ettevõte, et uuendab oma kvaliteedikontrolli protsessi ja surub tarkvara haavatavuse kõrvaldamiseks välja turvapaiga. Selle kvaliteedikontrolli protseduurid hõlmavad nüüd kaheastmelist kontrolli, et tagada luku vedru-pliiatsi mehhanism tõhus, samal ajal kui tarkvaraplaaster uuendab täiendavat turbeprotokolli autentimise etapid. Plaaster hõlmab nii rakenduse värskendust kui ka püsivara värskendust, mida hallatakse ettevõtte patenteeritud rakenduse kaudu.
Pakuti ka Pishon Labsi aitäh Pen Test Partnersile "õigeaegse ja eetilise avalikustamise eest".
Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
