Voor een product met een dekking van meer dan $ 300.000 Indiegogo – ruim 500 procent van het oorspronkelijke doel – Tapplock heeft een slechte week op de beveiligingsafdeling. Concreet enkele vriendelijke hackers bij Pentestpartners waren in staat om het Bluetooth-compatibele slimme slot binnen enkele seconden te kraken met alleen een mobiele telefoon.
Ontgrendeld
Digitale trends schreef over het slot en zijn ‘geavanceerde gecodeerde vingerafdruksensor’ uit 2016, maar het slimme slot van $ 100 blijkt behoorlijk kwetsbaar zijn voor de penetratie van beveiliging, zowel wat betreft de fysieke samenstelling als de beveiliging ervan platform.
Aanbevolen video's
Ten eerste is de fysieke samenstelling ervan enigszins aangetast. Zeker, een betonschaar kan door het slot gaan als een heet mes door boter, maar dat geldt voor de meeste sloten op de consumentenmarkt. Het maakt niet uit dat het slot niet eens waterdicht is, maar slechts ‘waterbestendig’. Het blijkt dat het slot bestaat uit een industriële legering genaamd Zamak 3 zinkaluminium dat vaker wordt aangetroffen in gegoten speelgoed en deurgrepen, een element dat niet sterk is, broos is en smelt bij temperaturen onder de 800 graden Fahrenheit. Ter vergelijking: een steekvlam die alleen met lucht werkt, brandt op meer dan 3600 graden F, terwijl een met zuurstof gevoede fakkel op meer dan 5000 graden ontsteekt.
Maar dat is niet alles op het gebied van fysieke beveiliging. Verschillende YouTubers hebben al video's geplaatst die de kwetsbaarheid van het slot demonstreren. Op 1 juni belde een gebruiker JerryRigAlles kon een kleverige GoPro-houder gebruiken om de achterkant van het slot te verwijderen, het met een schroevendraaier te demonteren en de beugel te openen. Vervolgens CNET probeerde hetzelfde trucje en kon het slot niet breken, dus of het slot fysiek veilig is, hangt nog steeds van de lucht af.
In de tussentijd heeft Tapplock een verklaring afgegeven dat alle toekomstige slotbatches eigen schroeven in de binnenkamers zullen gebruiken als secundair beschermingsmechanisme. Het bedrijf biedt ook gratis vervangingen aan aan elke klant die de achtercover kan kraken zonder het slot te beschadigen.
TappLock-serie: uw vingerafdruk, uw TappLock
Ondertussen heeft het bedrijf te maken met de grotere hoofdpijn van Pen Test Partners die de interne software van de Tapplock kunnen kraken minder dan twee seconden. Het proces kostte de penetratietesters minder dan een uur. Niet alleen zendt de software uit via niet-versleutelde HTTP-lijnen, maar de sloten gebruiken elke keer dezelfde gegevens. Elke slechte actor op hetzelfde netwerk kan het verkeer opsnuiven, de ontgrendelingsgegevens bemachtigen en deze gebruiken om het apparaat voor altijd te ontgrendelen. Er is geen fabrieksreset voor het slot.
“Dit beveiligingsniveau is volkomen onaanvaardbaar”, schreef Pen Test Partners-onderzoeker Andrew Tierny. “Consumenten verdienen beter, en je klanten op deze manier behandelen is enorm respectloos. Eerlijk gezegd heb ik geen woorden meer.”
Toen hij op de hoogte werd gebracht van de rug, de steun van Tapplock Pison-lab zei tegen Tierny: “We zijn ons terdege bewust van deze aantekeningen.”
Vervolgens zegt het bedrijf dat het zijn QA-proces aan het upgraden is en een beveiligingspatch uitbrengt om de softwarekwetsbaarheid aan te pakken. De QA-procedures omvatten nu een tweestapsinspectie om er zeker van te zijn dat het veerpenmechanisme van het slot in orde is effectief, terwijl een softwarepatch het beveiligingsprotocol upgradet met extra authenticatie stappen. De patch omvat zowel een app-update als een firmware-update, beheerd via de eigen app van het bedrijf.
Pison Labs bood ook aan Bedankt aan Pen Test Partners voor “de tijdige, snelle en ethische openbaarmaking.”
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
