Pour un produit soutenu à plus de 300 000 $ Indiegogo - plus de 500 pour cent de son objectif initial - Tapplock passe une mauvaise semaine au service de sécurité. Plus précisément, certains pirates informatiques sympathiques de Partenaires de tests d'intrusion ont pu déchiffrer le verrou intelligent compatible Bluetooth en quelques secondes en utilisant uniquement un téléphone portable.
Débloqué
Tendances numériques a écrit à propos de la serrure et son « capteur d'empreintes digitales crypté de pointe » en 2016, mais le verrou intelligent à 100 $ s'avère être être assez vulnérable à la pénétration de la sécurité, à la fois en termes de composition physique et de sécurité plate-forme.
Vidéos recommandées
Premièrement, sa composition physique est quelque peu compromise. Bien sûr, une paire de coupe-boulons peut traverser la serrure comme un couteau chaud dans du beurre, mais c'est le cas de la plupart des serrures du marché grand public. Peu importe que la serrure n’est même pas étanche mais simplement « résistante à l’eau ». Il s'avère que la serrure est constituée d'un alliage industriel appelé Zamak 3, composé de le zinc et l'aluminium que l'on trouve plus couramment dans les jouets moulés sous pression et les poignées de porte, un élément qui n'est pas solide, est cassant et fond à des températures inférieures à 800 degrés Fahrenheit. En comparaison, un chalumeau à air brûle à plus de 3 600 degrés F tandis qu'un chalumeau alimenté en oxygène s'allume à plus de 5 000 degrés.
Mais ce n’est pas tout sur le plan de la sécurité physique. Plusieurs YouTubeurs ont déjà mis en ligne des vidéos démontrant la fragilité du verrou. Le 1er juin, un utilisateur a appelé JerryRigTout a pu utiliser un support GoPro collant pour retirer l'arrière du verrou, le démonter avec un tournevis et ouvrir la manille. Par la suite, CNET j'ai essayé la même astuce et n'a pas pu briser la serrure, donc la question de savoir si la serrure est physiquement sécurisée est toujours en suspens.
Entre-temps, Tapplock a publié une déclaration selon laquelle tous les futurs lots de serrures utiliseront des vis exclusives dans les chambres intérieures comme mécanisme de protection secondaire. La société propose également des remplacements gratuits à tout client capable de casser le capot arrière sans endommager la serrure.
Série TappLock: votre empreinte digitale, votre TappLock
Pendant ce temps, la société est confrontée au plus gros problème de Pen Test Partners, capable de pirater le logiciel interne du Tapplock. moins de deux secondes. Le processus a pris moins d’une heure aux testeurs d’intrusion. Non seulement le logiciel diffusait sur des lignes HTTP non cryptées, mais les verrous utilisaient à chaque fois les mêmes données. Tout acteur malveillant sur le même réseau peut détecter le trafic, récupérer les données de déverrouillage et les utiliser pour déverrouiller l'appareil à perpétuité. Il n'y a pas de réinitialisation d'usine pour la serrure.
« Ce niveau de sécurité est totalement inacceptable » a écrit Andrew Tierny, chercheur chez Pen Test Partners. « Les consommateurs méritent mieux, et traiter vos clients de cette manière est extrêmement irrespectueux. Pour être honnête, je suis à court de mots.
Lorsqu'il est informé du dos, le bailleur de fonds de Tapplock Laboratoire Pishon a déclaré à Tierny: « Nous sommes bien au courant de ces notes. »
Par la suite, la société a annoncé qu'elle mettait à niveau son processus d'assurance qualité et qu'elle publiait un correctif de sécurité pour remédier à sa vulnérabilité logicielle. Ses procédures d'assurance qualité incluent désormais une inspection en deux étapes pour garantir que le mécanisme à ressort de la serrure est efficace, tandis qu'un correctif logiciel met à niveau le protocole de sécurité qui inclut des étapes d'authentification. Le correctif implique une mise à jour de l’application ainsi qu’une mise à jour du micrologiciel, administrées via l’application propriétaire de l’entreprise.
Pishon Labs a également proposé merci à Pen Test Partners pour « la divulgation rapide et éthique en temps opportun ».
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
