Za izdelek, ki je bil podprt na več kot 300.000 USD Indiegogo — več kot 500 odstotkov prvotnega cilja — Tapplock ima slab teden v varnostnem oddelku. Natančneje, nekaj prijaznih hekerjev na Partnerji za testiranje peresa so lahko v nekaj sekundah vlomili pametno ključavnico, ki podpira Bluetooth, samo z mobilnim telefonom.
Odklenjeno
Digitalni trendi pisal o ključavnici in njegov »vrhunski šifrirani senzor prstnih odtisov« leta 2016, vendar se je izkazalo, da pametna ključavnica za 100 USD biti precej ranljiv za varnostni prodor, tako v smislu svoje fizične sestave kot varnosti platforma.
Priporočeni videoposnetki
Prvič, njegova fizična sestava je nekoliko ogrožena. Seveda gre lahko par rezil za zapahe skozi ključavnico kot vroč nož skozi maslo, vendar to velja za večino ključavnic na potrošniškem trgu. Ne pozabite, da ključavnica niti ni vodoodporna, ampak zgolj "vodoodporna". Izkazalo se je, da je ključavnica sestavljena iz industrijske zlitine, imenovane Zamak 3, ki jo sestavljajo cink aluminij, ki ga pogosteje najdemo v tlačno litih igračah in ročajih vrat, element, ki ni močan, je krhek in se tali pri temperaturah pod 800 stopinj Fahrenheit. Za primerjavo, zračni pihalnik gori pri več kot 3600 stopinjah F, medtem ko se gorilnik s kisikom vžge pri več kot 5000 stopinjah.
Vendar to še ni vse na področju fizične varnosti. Več YouTuberjev je že objavilo videoposnetke, ki prikazujejo krhkost ključavnice. 1. junija se je oglasil uporabnik JerryRigVse je lahko uporabil lepljiv nosilec GoPro, da je odstranil zadnji del ključavnice, ga razstavil z izvijačem in odprl obesek. Nato je CNET poskusil isti trik in ni mogel zlomiti ključavnice, tako da je še vedno v zraku, ali je ključavnica fizično varna.
Medtem je Tapplock izdal izjavo, da bodo vse prihodnje serije ključavnic uporabljale lastniške vijake v notranjih komorah kot sekundarni zaščitni mehanizem. Podjetje ponuja tudi brezplačne zamenjave vsaki stranki, ki lahko razbije zadnji pokrov, ne da bi poškodovala ključavnico.
Serija TappLock: Vaš prstni odtis, Vaš TappLock
Medtem se podjetje spopada z večjim glavobolom, saj lahko Pen Test Partners zlomi notranjo programsko opremo Tapplock-a v manj kot dve sekundi. Postopek je preizkuševalcem penetracije trajal manj kot eno uro. Ne samo, da je programska oprema oddajala po nešifriranih linijah HTTP, ampak ključavnice vedno uporabljajo iste podatke. Vsak slab igralec v istem omrežju lahko prevoha promet, zgrabi podatke za odklepanje in jih uporabi za odklepanje naprave za vedno. Za ključavnico ni ponastavitve na tovarniške nastavitve.
"Ta raven varnosti je popolnoma nesprejemljiva," napisal Andrew Tierny, raziskovalec Pen Test Partners. »Potrošniki si zaslužijo boljše in takšno ravnanje s strankami je zelo nespoštljivo. Če sem iskren, mi zmanjka besed.”
Ko je obveščen o hrbtu, Tapplockov podpornik Pishon Lab je rekel Tiernyju: "Dobro se zavedamo teh zapiskov."
Pozneje podjetje pravi, da nadgrajuje svoj postopek zagotavljanja kakovosti in izdaja varnostni popravek za odpravo ranljivosti programske opreme. Njegovi postopki zagotavljanja kakovosti zdaj vključujejo pregled v dveh korakih, da se zagotovi, da je vzmetni mehanizem ključavnice pravilen učinkovit, medtem ko programski popravek nadgradi varnostni protokol, ki vključuje dodatne korake avtentikacije. Popravek vključuje posodobitev aplikacije in posodobitev vdelane programske opreme, ki se upravlja prek lastniške aplikacije podjetja.
Pishon Labs tudi ponudil hvala partnerjem Pen Test za »pravočasno in etično razkritje«.
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
