Încuietorile inteligente ale lui Tapplock sunt „complet exploatate” de testerii de penetrare

Pentru un produs care a fost susținut la peste 300.000 USD Indiegogo — peste 500 la sută din obiectivul său inițial — Tapplock are o săptămână proastă în departamentul de securitate. Mai exact, niște hackeri prietenoși la Parteneri de testare a stiloului au putut sparge blocarea inteligentă compatibilă cu Bluetooth în câteva secunde folosind doar un telefon mobil.

Deblocat

Tendințe digitale a scris despre lacăt și „senzorul său de amprentă criptat de vârf” în 2016, dar blocarea inteligentă de 100 USD se dovedește a fi fi destul de vulnerabil la pătrunderea securității, atât în ​​ceea ce privește structura sa fizică, cât și securitatea platformă.

Videoclipuri recomandate

În primul rând, machiajul său fizic este oarecum compromis. Sigur, o pereche de tăietoare de șuruburi poate trece prin lacăt ca un cuțit fierbinte prin unt, dar acest lucru este valabil pentru majoritatea încuietorilor de pe piața de consum. Nu contează că încuietoarea nici măcar nu este impermeabilă, ci doar „rezistentă la apă”. Se pare că încuietoarea este alcătuită dintr-un aliaj industrial numit Zamak 3, compus din zinc-aluminiu se găsește mai frecvent în jucăriile turnate sub presiune și mânerele ușilor, un element care nu este puternic, este fragil și se topește la temperaturi sub 800 de grade Fahrenheit. Prin comparație, o lanternă cu aer arde la mai mult de 3.600 de grade F, în timp ce o lanternă alimentată cu oxigen se aprinde la mai mult de 5.000 de grade.

Dar asta nu este totul pe frontul securității fizice. Mai mulți YouTuberi au postat deja videoclipuri care demonstrează fragilitatea lacătului. Pe 1 iunie, un utilizator a sunat JerryRigTotul a reușit să folosească o montură GoPro lipicioasă pentru a scoate partea din spate a broaștei, a-l demonta cu o șurubelniță și a deschide mânerul. Ulterior, CNET a incercat acelasi truc și nu a putut rupe încuietoarea, așa că dacă lacătul este sigur din punct de vedere fizic este încă în aer.

Între timp, Tapplock a emis o declarație conform căreia toate loturile viitoare de blocare vor folosi șuruburi proprietare în camerele interioare ca mecanism de protecție secundar. De asemenea, compania oferă înlocuiri gratuite oricărui client care poate sparge capacul din spate fără a deteriora încuietoarea.

Seria TappLock: Amprenta ta, TappLock

Între timp, compania se confruntă cu durerea de cap mai mare a partenerilor de testare Pen, fiind capabili să spargă software-ul intern al Tapplock în mai puțin de două secunde. Procesul a durat testerilor de penetrare mai puțin de o oră. Nu numai că software-ul a difuzat prin linii HTTP necriptate, dar încuietorile folosesc aceleași date de fiecare dată. Orice actor rău din aceeași rețea poate adulmeca traficul, poate prelua datele de deblocare și le poate folosi pentru a debloca dispozitivul pe perpetuitate. Nu există nicio resetare din fabrică pentru blocare.

„Acest nivel de securitate este complet inacceptabil”, a scris Cercetătorul Pen Test Partners, Andrew Tierny. „Consumatorii merită mai bine, iar să-ți tratezi clienții astfel este extrem de lipsit de respect. Sincer să fiu, sunt fără cuvinte.”

Când este informat despre spate, susținătorul lui Tapplock Laboratorul Pishon i-a spus lui Tierny: „Suntem bine conștienți de aceste note”.

Ulterior, compania spune că își actualizează procesul de QA și lansează un patch de securitate pentru a aborda vulnerabilitatea software-ului său. Procedurile sale de asigurare a calității includ acum o inspecție în 2 pași pentru a se asigura că mecanismul arc-pen al lacătului este eficient, în timp ce un patch software actualizează protocolul de securitate care include suplimentar pașii de autentificare. Patch-ul implică o actualizare a aplicației, precum și o actualizare a firmware-ului, administrată prin aplicația proprietară a companiei.

Pishon Labs este oferit și Mulțumiri către Pen Test Partners pentru „dezvăluirea promptă și etică în timp util”.

Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.