Para um produto com garantia de mais de US$ 300.000 em Indiegogo – mais de 500% de sua meta original – Tapplock está tendo uma semana ruim no departamento de segurança. Especificamente, alguns hackers amigáveis em Parceiros de teste de penetração conseguiram quebrar o bloqueio inteligente habilitado para Bluetooth em segundos usando apenas um telefone celular.
Desbloqueado
Tendências Digitais escreveu sobre o bloqueio e seu “sensor de impressão digital criptografado de última geração” em 2016, mas o bloqueio inteligente de US$ 100 acaba sendo ser bastante vulnerável à penetração de segurança, tanto em termos de sua composição física quanto de segurança plataforma.
Vídeos recomendados
Primeiro, sua constituição física está um tanto comprometida. Claro, um alicate pode passar pela fechadura como uma faca quente na manteiga, mas isso é verdade para a maioria das fechaduras do mercado consumidor. Não importa que a fechadura nem seja à prova d’água, mas apenas “resistente à água”. Acontece que a fechadura é feita de uma liga industrial chamada Zamak 3, composta de zinco-alumínio mais comumente encontrado em brinquedos fundidos e maçanetas de portas, um elemento que não é forte, é quebradiço e derrete em temperaturas abaixo de 800 graus Fahrenheit. Em comparação, um maçarico somente com ar queima a mais de 3.600 graus F, enquanto uma tocha alimentada com oxigênio queima a mais de 5.000 graus.
Mas isso não é tudo no que diz respeito à segurança física. Vários YouTubers já colocaram vídeos demonstrando a fragilidade da fechadura. Em 1º de junho, um usuário ligou JerryRigTudo conseguiu empregar um suporte GoPro adesivo para remover a parte de trás da fechadura, desmontá-la com uma chave de fenda e abrir a manilha. Posteriormente, CNET tentei o mesmo truque e não conseguiu quebrar a fechadura, então ainda não se sabe se a fechadura está fisicamente segura.
Enquanto isso, a Tapplock emitiu uma declaração de que todos os futuros lotes de fechaduras usarão parafusos proprietários nas câmaras internas como mecanismo de proteção secundário. A empresa também está oferecendo substituições gratuitas para qualquer cliente que consiga quebrar a tampa traseira sem danificar a fechadura.
Série TappLock: sua impressão digital, seu TappLock
Enquanto isso, a empresa está lidando com a maior dor de cabeça de os Pen Test Partners conseguirem quebrar o software interno do Tapplock em menos de dois segundos. O processo levou menos de uma hora para os testadores de penetração. Não apenas o software estava transmitindo por linhas HTTP não criptografadas, mas os bloqueios usavam sempre os mesmos dados. Qualquer malfeitor na mesma rede pode detectar o tráfego, obter os dados de desbloqueio e usá-los para desbloquear o dispositivo para sempre. Não há redefinição de fábrica para o bloqueio.
“Este nível de segurança é completamente inaceitável”, escreveu Pesquisador do Pen Test Partners, Andrew Tierny. “Os consumidores merecem coisa melhor e tratar os seus clientes desta forma é extremamente desrespeitoso. Para ser honesto, estou sem palavras.”
Quando informado das costas, o apoiador de Tapplock Laboratório Pishon disse a Tierny: “Estamos bem cientes dessas notas”.
Posteriormente, a empresa afirma que está atualizando seu processo de controle de qualidade e lançando um patch de segurança para solucionar a vulnerabilidade de seu software. Seus procedimentos de controle de qualidade agora incluem uma inspeção em duas etapas para garantir que o mecanismo de mola da fechadura esteja eficaz, enquanto um patch de software atualiza o protocolo de segurança que inclui etapas de autenticação. O patch envolve uma atualização de aplicativo, bem como uma atualização de firmware, administrada por meio do aplicativo proprietário da empresa.
Pishon Labs também ofereceu obrigado aos Pen Test Partners pela “divulgação oportuna, rápida e ética”.
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
