Умные замки Tapplock «полностью взломаны» тестировщиками на проникновение

Для продукта, стоимость которого превышает 300 000 долларов США Индиегого — более 500 процентов от первоначальной цели — У Tapplock плохая неделя в отделе безопасности. В частности, некоторые дружественные хакеры из Партнеры по тестированию на проникновение смогли взломать интеллектуальный замок с поддержкой Bluetooth за считанные секунды, используя только сотовый телефон.

Разблокировано

Цифровые тенденции написал про замок и его «современный зашифрованный датчик отпечатков пальцев» еще в 2016 году, но оказывается, что умный замок за 100 долларов быть довольно уязвимым для проникновения в систему безопасности, как с точки зрения физического строения, так и с точки зрения безопасности. Платформа.

Рекомендуемые видео

Во-первых, его физический облик несколько нарушен. Конечно, пара болторезов может пройти сквозь замок, как горячий нож сквозь масло, но это верно для большинства замков потребительского рынка. И неважно, что замок даже не водонепроницаем, а просто «водонепроницаем». Оказывается, замок сделан из промышленного сплава Замак 3, состоящего из цинк-алюминий, чаще встречающийся в литых игрушках и дверных ручках, элемент непрочный, хрупкий и плавится при температуре ниже 800 градусов. Фаренгейт. Для сравнения, воздушная паяльная лампа горит при температуре более 3600 градусов по Фаренгейту, а кислородная горелка загорается при температуре более 5000 градусов.

Но это еще не все, что касается физической безопасности. Несколько YouTube-блогеров уже выложили видеоролики, демонстрирующие хрупкость замка. 1 июня пользователь позвонил ДжерриРигВсе смог использовать липкое крепление GoPro, чтобы снять заднюю часть замка, разобрать его с помощью отвертки и открыть дужку. Впоследствии CNET попробовал тот же трюк и не смог взломать замок, поэтому вопрос о том, безопасен ли замок физически, остается под вопросом.

Тем временем компания Tapplock выступила с заявлением, что во всех будущих партиях замков будут использоваться фирменные винты во внутренних камерах в качестве вторичного защитного механизма. Компания также предлагает бесплатную замену любому клиенту, который сможет взломать заднюю крышку, не повредив замок.

Серия TappLock: ваш отпечаток пальца, ваш TappLock

Тем временем компания сталкивается с еще большей головной болью, связанной с тем, что партнеры Pen Test Partners могут взломать внутреннее программное обеспечение Tapplock в менее двух секунд. Этот процесс занял у пентестеров менее часа. Программное обеспечение не только осуществляло широковещательную передачу по незашифрованным линиям HTTP, но и блокировки каждый раз использовали одни и те же данные. Любой злоумышленник в той же сети может перехватить трафик, получить данные для разблокировки и использовать их для вечной разблокировки устройства. Возврата к заводским настройкам замка нет.

«Такой уровень безопасности совершенно неприемлем», написал Исследователь Pen Test Partners Эндрю Тирни. «Потребители заслуживают лучшего, и такое обращение с вашими клиентами — это крайне неуважительно. Честно говоря, у меня нет слов».

Когда ему сообщили об обратном, покровитель Tapplock Пишон Лаборатория сказал Тирни: «Нам хорошо известны эти записи».

Впоследствии компания заявляет, что модернизирует процесс контроля качества и выпускает исправление безопасности для устранения уязвимости своего программного обеспечения. Процедуры обеспечения качества теперь включают двухэтапную проверку, позволяющую убедиться в исправности пружинно-ручкового механизма замка. эффективен, а исправление программного обеспечения обновляет протокол безопасности, включающий дополнительные шаги аутентификации. Патч включает в себя обновление приложения, а также обновление прошивки, администрируемое через фирменное приложение компании.

Pishon Labs также предлагает Спасибо Pen Test Partners за «своевременное, оперативное и этичное раскрытие информации».

Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.