For et produkt som har blitt støttet til over $300 000 på Indiegogo — over 500 prosent av det opprinnelige målet — Tapplock har en dårlig uke i sikkerhetsavdelingen. Nærmere bestemt noen vennlige hackere på Pennetestpartnere klarte å knekke den Bluetooth-aktiverte smartlåsen på sekunder ved å bruke bare en mobiltelefon.
Ulåst
Digitale trender skrev om låsen og dens "nyskapende krypterte fingeravtrykksensor" tilbake i 2016, men den smarte låsen på $100 viser seg å være ganske sårbare for sikkerhetspenetrasjon, både når det gjelder dens fysiske sammensetning og sikkerheten plattform.
Anbefalte videoer
For det første er dens fysiske makeup noe kompromittert. Visst, et par boltkuttere kan gå gjennom låsen som en varm kniv gjennom smør, men det er sant for de fleste låser på forbrukermarkedet. Ikke bry deg om at låsen ikke engang er vanntett, men bare "vanntett". Det viser seg at låsen består av en industriell legering kalt Zamak 3, som består av sinkaluminium som oftere finnes i støpte leker og dørhåndtak, et element som ikke er sterkt, er sprøtt og smelter ved temperaturer under 800 grader Fahrenheit. Til sammenligning brenner en luftbrenner ved mer enn 3600 grader F mens en oksygenmatet lommelykt fyrer opp ved mer enn 5000 grader.
Men det er ikke alt på den fysiske sikkerhetsfronten. Flere YouTubere har allerede lagt ut videoer som demonstrerer låsens skjørhet. 1. juni ringte en bruker JerryRigAlt var i stand til å bruke et klebrig GoPro-feste for å fjerne baksiden av låsen, demontere den med en skrutrekker og åpne sjakkelen. Deretter CNET prøvde samme trikset og kunne ikke bryte låsen, så om låsen er fysisk sikker er fortsatt oppe i luften.
I mellomtiden har Tapplock utstedt en erklæring om at alle fremtidige låsepartier vil bruke proprietære skruer i de indre kamrene som en sekundær beskyttelsesmekanisme. Selskapet tilbyr også gratis erstatninger til enhver kunde som er i stand til å knekke bakdekselet uten å skade låsen.
TappLock-serien: Ditt fingeravtrykk, din TappLock
I mellomtiden håndterer selskapet den større hodepinen ved at Pen Test Partners er i stand til å bryte Tapplocks interne programvare i mindre enn to sekunder. Prosessen tok penetrasjonstesterne mindre enn en time. Ikke bare kringkastet programvaren over ukrypterte HTTP-linjer, men låsene bruker de samme dataene hver gang. Enhver dårlig aktør på samme nettverk kan snuse trafikken, ta tak i opplåsingsdataene og bruke dem til å låse opp enheten til evig tid. Det er ingen tilbakestilling av fabrikken for låsen.
"Dette sikkerhetsnivået er fullstendig uakseptabelt," skrev Pen Test Partners-forsker Andrew Tierny. «Forbrukere fortjener bedre, og å behandle kundene dine på denne måten er enormt respektløst. For å være ærlig er jeg tapt for ord."
Når informert om baksiden, Tapplocks støttespiller Pishon Lab sa til Tierny, "Vi er godt klar over disse notatene."
Deretter sier selskapet at det oppgraderer QA-prosessen og sender ut en sikkerhetsoppdatering for å løse programvaresårbarheten. QA-prosedyrene inkluderer nå en 2-trinns inspeksjon for å sikre at låsens fjærpennmekanisme er effektiv, mens en programvareoppdatering oppgraderer sikkerhetsprotokollen som inkluderer ekstra autentiseringstrinn. Patchen involverer en appoppdatering så vel som en fastvareoppdatering, administrert via selskapets proprietære app.
Pishon Labs tilbys også Takk til Pen Test Partners for "den rettidige raske og etiske avsløringen."
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
