Produktui, kurio užmokestis viršija 300 000 USD Indiegogo – daugiau nei 500 procentų pradinio tikslo – „Tapplock“ saugos skyriuje išgyvena blogą savaitę. Tiksliau, kai kurie draugiški įsilaužėliai Rašiklio testavimo partneriai sugebėjo per kelias sekundes nulaužti išmanųjį „Bluetooth“ užraktą naudodami tik mobilųjį telefoną.
Atrakinta
Skaitmeninės tendencijos rašė apie spyną ir jo „pažangiausias šifruotas pirštų atspaudų jutiklis“ dar 2016 m., tačiau 100 USD vertės išmanusis užraktas būti gana pažeidžiamas dėl saugumo prasiskverbimo tiek dėl fizinės sudėties, tiek dėl saugumo platforma.
Rekomenduojami vaizdo įrašai
Pirma, jo fizinė sudėtis yra šiek tiek pažeista. Žinoma, pora varžtų pjaustytuvų gali prasiskverbti per spyną kaip karštas peilis per sviestą, bet tai pasakytina apie daugumą vartotojų rinkos spynų. Nepamirškite, kad užraktas net nėra atsparus vandeniui, o tik „atsparus vandeniui“. Pasirodo, spyna sudaryta iš pramoninio lydinio, vadinamo Zamak 3, kurį sudaro cinko aliuminis dažniausiai randamas liejiniuose žaisluose ir durų rankenose – elementas, kuris nėra stiprus, trapus ir tirpsta žemesnėje nei 800 laipsnių temperatūroje Farenheito. Palyginimui, tik oro pūtiklis dega daugiau nei 3600 laipsnių F, o deguonies tiekiamas deglas – daugiau nei 5000 laipsnių.
Tačiau tai dar ne viskas fizinio saugumo srityje. Keletas „YouTube“ naudotojų jau paskelbė vaizdo įrašus, demonstruojančius spynos trapumą. Birželio 1 d. paskambino vartotojas JerryRig Viskas sugebėjo panaudoti lipnų „GoPro“ laikiklį, kad nuimtų užpakalinę spynos dalį, išardytų ją atsuktuvu ir atidarytų pančius. Vėliau CNET išbandė tą patį triuką ir negalėjo sulaužyti spynos, todėl ar spyna yra fiziškai saugi, vis dar yra ore.
Tuo tarpu „Tapplock“ paskelbė pareiškimą, kad visose būsimose užraktų partijose vidinėse kamerose bus naudojami patentuoti varžtai kaip antrinis apsauginis mechanizmas. Bendrovė taip pat siūlo nemokamus pakeitimus kiekvienam klientui, kuris gali nulaužti galinį dangtelį nepažeisdamas spynos.
„TappLock“ serija: jūsų pirštų atspaudai, jūsų „TappLock“.
Tuo tarpu bendrovė susiduria su didesniu galvos skausmu, kai „Pen Test Partners“ gali sugadinti „Tapplock“ vidinę programinę įrangą mažiau nei dvi sekundes. Procesas prasiskverbimo testeriams užtruko mažiau nei valandą. Programinė įranga ne tik transliavo nešifruotas HTTP linijas, bet ir užraktai kiekvieną kartą naudoja tuos pačius duomenis. Bet kuris blogas veikėjas tame pačiame tinkle gali užuosti srautą, paimti atrakinimo duomenis ir naudoti juos įrenginiui atrakinti visam laikui. Užrakto gamykliniai nustatymai neatstatyti.
„Toks saugumo lygis yra visiškai nepriimtinas“, rašė Pen Test Partners tyrėjas Andrew Tierny. „Vartotojai nusipelno geresnio, o taip elgtis su klientais yra labai nepagarbu. Jei atvirai, man trūksta žodžių“.
Kai pranešama apie nugarą, „Tapplock“ rėmėjas Pishon laboratorija pasakė Tierny: „Mes gerai žinome apie šiuos užrašus“.
Vėliau bendrovė teigia, kad atnaujina savo kokybės užtikrinimo procesą ir išleidžia saugos pataisą, kad pašalintų programinės įrangos pažeidžiamumą. Į jo kokybės užtikrinimo procedūras dabar įtrauktas 2 etapų patikrinimas, siekiant įsitikinti, kad užrakto spyruoklinio rašiklio mechanizmas veikia efektyvus, o programinės įrangos pataisa atnaujina saugos protokolą, kuriame yra papildomų autentifikavimo žingsniai. Pleistras apima programos atnaujinimą ir programinės įrangos naujinimą, administruojamą per įmonės patentuotą programą.
Taip pat siūlomos Pishon Labs dėkoju „Pen Test Partners“ už „laiką greitą ir etišką atskleidimą“.
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
