300,000 ドル以上のバックが付いている製品の場合 インディゴーゴ — 当初の目標の 500% 以上 — Tapplock はセキュリティ部門で悪い一週間を過ごしています。 具体的には、一部の友好的なハッカーが、 ペネトレーションテストパートナー 携帯電話のみを使用して、Bluetooth 対応のスマート ロックを数秒で解読することができました。
ロック解除済み
デジタルトレンド ロックについて書きました 2016 年には「最先端の暗号化指紋センサー」が搭載されましたが、100 ドルのスマート ロックは、 物理的構成とセキュリティの両方の観点から、セキュリティ侵入に対して非常に脆弱です プラットホーム。
おすすめ動画
まず、その物理的構造はいくぶん損なわれています。 確かに、ボルト カッターを熱したナイフでバターに通すように錠前を通過することはできますが、これはほとんどの消費者市場の錠前に当てはまります。 ロックは防水ではなく、単に「防水」であることを気にしないでください。 ロックはザマック 3 と呼ばれる工業用合金でできていることが判明しました。 亜鉛アルミニウムはダイカストのおもちゃやドアハンドルでよく見られますが、強度が弱く、もろく、800度以下の温度で溶ける要素です。 華氏。 比較すると、空気のみのトーチは 3,600 度以上で燃焼しますが、酸素供給トーチは 5,000 度以上で点火します。
しかし、物理的なセキュリティの面ではそれだけではありません。 すでに何人かのYouTuberが鍵の脆弱性を実証する動画を投稿している。 6月1日、ユーザーから電話がありました。 ジェリーリグすべて 粘着性のある GoPro マウントを使用してロックの背面を取り外し、ドライバーで分解してシャックルを開けることができました。 その後、CNET 同じトリックを試してみた ロックを壊すことができなかったので、ロックが物理的に安全かどうかはまだ不明です。
一方、タップロック社は、将来のすべてのロックバッチでは二次的な保護機構として内部チャンバーに独自のネジを使用するとの声明を発表した。 同社はまた、ロックを損傷することなく裏蓋を割ることができる顧客には無料交換を提供している。
TappLock シリーズ: あなたの指紋、あなたの TappLock
一方、同社は、侵入テストパートナーが Tapplock の内部ソフトウェアを突破できるという、より大きな頭痛の種に対処している。
2秒未満. ペネトレーションテスターがこのプロセスに要した時間は 1 時間未満でした。 ソフトウェアは暗号化されていない HTTP 回線を介してブロードキャストしているだけでなく、ロックは毎回同じデータを使用しています。 同じネットワーク上の悪意のある攻撃者は、トラフィックを盗聴し、ロック解除データを取得し、それを使用してデバイスのロックを永続的に解除することができます。 ロックを工場出荷時設定にリセットすることはできません。「このレベルのセキュリティはまったく受け入れられません。」 書きました Pen Test Partners 研究者の Andrew Tierny 氏は次のように述べています。 「消費者はもっと良くなる権利があり、顧客をこのように扱うのは非常に失礼です。 正直に言うと、言葉を失いました。」
裏を知らされたとき、Tapplock の後援者 ピションラボ ティアニー氏は「私たちはこれらのメモについてはよく知っています」と語った。
その後、同社は QA プロセスをアップグレードし、ソフトウェアの脆弱性に対処するためのセキュリティ パッチをリリースすると発表しました。 その QA 手順には、ロックのスプリング ペン機構が適切であることを確認するための 2 段階の検査が含まれています。 ソフトウェア パッチは、追加の機能を含むセキュリティ プロトコルをアップグレードします。 認証手順。 このパッチには、アプリのアップデートとファームウェアのアップデートが含まれており、同社独自のアプリを通じて管理されます。
Pishon Labsも提供 ありがとう ペネトレーションテストパートナーに対し、「タイムリーな迅速かつ倫理的な開示」を求めています。
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
