עבור מוצר שקיבל גיבוי של למעלה מ-$300,000 אינדיגוגו - מעל 500 אחוז מהיעד המקורי שלה - ל-Tapplock יש שבוע רע במחלקת האבטחה. ספציפית, כמה האקרים ידידותיים ב Pen Test Partners הצליחו לפצח את המנעול החכם התומך ב-Bluetooth תוך שניות באמצעות טלפון סלולרי בלבד.
לא נעול
טרנדים דיגיטליים כתב על המנעול ו"חיישן טביעות האצבע המוצפן החדשני" שלו בשנת 2016, אבל המנעול החכם של 100 דולר מתברר להיות די פגיע לחדירת אבטחה, הן מבחינת המבנה הפיזי והן מבחינת האבטחה שלו פּלַטפוֹרמָה.
סרטונים מומלצים
ראשית, האיפור הפיזי שלו נפגע במידה מסוימת. בטח, זוג חותכי בריח יכול לעבור דרך המנעול כמו סכין לוהטת דרך חמאה, אבל זה נכון לרוב המנעולים בשוק הצרכנים. לא משנה שהמנעול אפילו לא עמיד למים אלא רק "עמיד במים". מסתבר שהמנעול מורכב מסגסוגת תעשייתית בשם Zamak 3, מורכבת ממנה אלומיניום אבץ נמצא בדרך כלל בצעצועים יצוקים ובידיות דלתות, אלמנט שאינו חזק, שביר ונמס בטמפרטורות מתחת ל-800 מעלות פרנהייט. לשם השוואה, לפיד נשיפה באוויר בלבד בוער בטמפרטורה של יותר מ-3,600 מעלות צלזיוס בעוד שלפיד המוזן בחמצן נדלק ביותר מ-5,000 מעלות.
אבל זה לא הכל בחזית האבטחה הפיזית. כמה יוטיוברים כבר העלו סרטונים המדגימים את שבריריותו של המנעול. ב-1 ביוני התקשר משתמש
ג'רי ריג הכל הצליח להשתמש בתושבת GoPro דביקה כדי להסיר את גב המנעול, לפרק אותו עם מברג ולפתוח את השאקל. לאחר מכן, CNET ניסיתי את אותו הטריק ולא יכול היה לשבור את המנעול, כך שאם המנעול מאובטח פיזית עדיין באוויר.בינתיים, Tapplock פרסמה הצהרה כי כל קבוצות הנעילה העתידיות ישתמשו בברגים קנייניים בחדרים הפנימיים כמנגנון הגנה משני. כמו כן, החברה מציעה החלפות חינם לכל לקוח המסוגל לפצח את הכיסוי האחורי מבלי לפגוע במנעול.
סדרת TappLock: טביעת האצבע שלך, ה-TappLock שלך
בינתיים, החברה מתמודדת עם כאב הראש הגדול יותר של Pen Test Partners המצליחים לשבור את התוכנה הפנימית של ה-Tapplock פחות משתי שניות. התהליך לקח לבודקי החדירה פחות משעה. לא רק שהתוכנה שידרה בקווי HTTP לא מוצפנים, אלא שהמנעולים משתמשים באותם נתונים בכל פעם. כל שחקן גרוע באותה רשת יכול לרחרח את התעבורה, לתפוס את נתוני פתיחת הנעילה ולהשתמש בהם כדי לפתוח את המכשיר לנצח. אין איפוס להגדרות היצרן עבור המנעול.
"רמת האבטחה הזו אינה מקובלת לחלוטין", כתבתי חוקר Pen Test Partners, אנדרו טירני. "לצרכנים מגיע יותר טוב, ולהתייחס ללקוחות שלך ככה זה מאוד לא מכבד. למען האמת, אבד לי המילים".
כאשר הודיעו על הגב, התומך של טאפלוק מעבדת פישון אמר לטיירני, "אנחנו מודעים היטב להערות האלה."
לאחר מכן, החברה אומרת שהיא משדרגת את תהליך ה-QA שלה ודוחפת תיקון אבטחה כדי לטפל בפגיעות התוכנה שלה. נהלי ה-QA שלו כוללים כעת בדיקה בת 2 שלבים כדי לוודא שמנגנון העט הקפיץ של המנעול יעיל, בעוד שתיקון תוכנה משדרג את פרוטוקול האבטחה הכולל נוסף שלבי אימות. התיקון כולל עדכון אפליקציה כמו גם עדכון קושחה, המנוהל באמצעות האפליקציה הקניינית של החברה.
גם מעבדות פישון הציעו תודה ל-Pen Test Partners על "החשיפה המהירה והאתית בזמן".
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
