W przypadku produktu, którego wartość wynosi ponad 300 000 USD Indiegogo — ponad 500 procent pierwotnego celu — Tapplock ma zły tydzień w dziale bezpieczeństwa. W szczególności kilku zaprzyjaźnionych hakerów pod adresem Partnerzy testów pióra byli w stanie złamać inteligentną blokadę obsługującą technologię Bluetooth w ciągu kilku sekund, korzystając wyłącznie z telefonu komórkowego.
Odblokowany
Trendy cyfrowe pisałem o zamku i jego „nowoczesny, zaszyfrowany czujnik odcisków palców” z 2016 r., ale inteligentny zamek za 100 dolarów okazuje się być dość podatny na penetrację zabezpieczeń, zarówno pod względem fizycznym, jak i bezpieczeństwa platforma.
Polecane filmy
Po pierwsze, jego skład fizyczny jest nieco naruszony. Jasne, para nożyc do śrub może przejść przez zamek jak gorący nóż przez masło, ale dotyczy to większości zamków dostępnych na rynku konsumenckim. Nieważne, że zamek nie jest nawet wodoodporny, a jedynie „wodoodporny”. Okazuje się, że zamek wykonany jest ze stopu przemysłowego zwanego Zamak 3, w skład którego wchodzą: cynkowo-aluminiowy częściej spotykany w odlewanych ciśnieniowo zabawkach i klamkach drzwi, element, który nie jest mocny, jest kruchy i topi się w temperaturach poniżej 800 stopni Fahrenheita. Dla porównania, palnik zasilany wyłącznie powietrzem pali się w temperaturze ponad 3600 stopni F, podczas gdy palnik zasilany tlenem osiąga temperaturę ponad 5000 stopni.
Ale to nie wszystko, jeśli chodzi o bezpieczeństwo fizyczne. Kilku YouTuberów umieściło już filmy pokazujące kruchość zamka. 1 czerwca zadzwonił użytkownik JerryRig Wszystko był w stanie użyć lepkiego uchwytu GoPro do zdjęcia tylnej części zamka, zdemontowania go za pomocą śrubokręta i otwarcia szekli. Następnie CNET próbowałem tej samej sztuczki i nie mógł złamać zamka, zatem nie wiadomo, czy zamek jest fizycznie bezpieczny.
W międzyczasie firma Tapplock wydała oświadczenie, że we wszystkich przyszłych partiach zamków zastosowane zostaną zastrzeżone śruby w komorach wewnętrznych jako dodatkowy mechanizm ochronny. Firma oferuje również bezpłatną wymianę każdemu klientowi, któremu uda się złamać tylną obudowę bez uszkadzania zamka.
Seria TappLock: Twój odcisk palca, Twoja blokada TappLock
Tymczasem firma boryka się z większym problemem związanym z możliwością złamania przez Pen Test Partners wewnętrznego oprogramowania Taplocka w mniej niż dwie sekundy. Proces ten zajął testerom penetracyjnym mniej niż godzinę. Oprogramowanie nie tylko transmitowało przez niezaszyfrowane linie HTTP, ale także blokady za każdym razem korzystały z tych samych danych. Każdy zły aktor w tej samej sieci może przechwycić ruch, pobrać dane odblokowujące i użyć ich do odblokowania urządzenia na zawsze. Blokada nie ma możliwości przywrócenia ustawień fabrycznych.
„Ten poziom bezpieczeństwa jest całkowicie nie do zaakceptowania” napisał Badacz Pen Test Partners, Andrew Tierny. „Konsumenci zasługują na coś lepszego, a traktowanie ich w ten sposób jest ogromnym brakiem szacunku. Szczerze mówiąc, brak mi słów.”
Po otrzymaniu informacji o powrocie, zwolennik Tapplocka Laboratorium Piszon powiedział Tierny’emu: „Doskonale znamy te notatki”.
Następnie firma twierdzi, że unowocześnia swój proces kontroli jakości i wypuszcza poprawkę bezpieczeństwa mającą na celu usunięcie luki w oprogramowaniu. Procedury kontroli jakości obejmują obecnie dwuetapową kontrolę sprawdzającą, czy mechanizm sprężynowy zamka działa prawidłowo skuteczne, podczas gdy łatka oprogramowania aktualizuje protokół bezpieczeństwa, który obejmuje dodatkowe kroki uwierzytelniania. Łatka obejmuje aktualizację aplikacji oraz aktualizację oprogramowania sprzętowego, administrowaną za pośrednictwem autorskiej aplikacji firmy.
Oferowane było również Pishon Labs Dzięki Pen Test Partners za „szybkie i etyczne ujawnienie informacji”.
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
