För en produkt som har backats upp till över $300 000 på Indiegogo — över 500 procent av sitt ursprungliga mål — Tapplock har en dålig vecka på säkerhetsavdelningen. Specifikt några vänliga hackare på Pen Test Partners kunde knäcka det Bluetooth-aktiverade smarta låset på några sekunder med bara en mobiltelefon.
Olåst
Digitala trender skrev om låset och dess "cutting edge krypterade fingeravtryckssensor" redan 2016, men det smarta låset på 100 $ visar sig vara vara ganska sårbara för säkerhetspenetration, både när det gäller dess fysiska sammansättning och dess säkerhet plattform.
Rekommenderade videor
För det första är dess fysiska makeup något äventyras. Visst, ett par bultsaxar kan gå genom låset som en het kniv genom smör, men det är sant för de flesta konsumentmarknadslås. Strunt i att låset inte ens är vattentätt utan bara "vattentåligt". Det visar sig att låset består av en industriell legering som heter Zamak 3, som består av zinkaluminium som är vanligare i formgjutna leksaker och dörrhandtag, ett element som inte är starkt, är sprött och smälter vid temperaturer under 800 grader Fahrenheit. Som jämförelse brinner en blåslampa med enbart luft vid mer än 3 600 grader F medan en syrematad ficklampa tänds vid mer än 5 000 grader.
Men det är inte allt på den fysiska säkerhetsfronten. Flera YouTubers har redan lagt upp videor som visar låsets bräcklighet. Den 1 juni ringde en användare JerryRigAllt kunde använda ett klibbigt GoPro-fäste för att ta bort baksidan av låset, demontera det med en skruvmejsel och öppna bygeln. Därefter CNET provade samma knep och kunde inte bryta låset, så om låset är fysiskt säkert är fortfarande i luften.
Under tiden har Tapplock utfärdat ett uttalande att alla framtida låssatser kommer att använda proprietära skruvar i de inre kamrarna som en sekundär skyddsmekanism. Företaget erbjuder också gratis ersättningar till alla kunder som kan knäcka bakstycket utan att skada låset.
TappLock-serien: Ditt fingeravtryck, ditt TappLock
Samtidigt hanterar företaget den större huvudvärken av att Pen Test Partners kan bryta Tapplocks interna programvara i mindre än två sekunder. Processen tog penetreringstestarna mindre än en timme. Programvaran sändes inte bara över okrypterade HTTP-linjer, utan låsen använder samma data varje gång. Vilken dålig aktör som helst på samma nätverk kan sniffa trafiken, ta tag i upplåsningsdata och använda den för att låsa upp enheten för evigt. Det finns ingen fabriksåterställning för låset.
"Denna säkerhetsnivå är helt oacceptabel," skrev Pen Test Partners forskare Andrew Tierny. "Konsumenter förtjänar bättre, och att behandla dina kunder så här är oerhört respektlöst. Om jag ska vara ärlig saknar jag ord."
När du informeras om baksidan, Tapplocks uppbackare Pishon Lab sa till Tierny, "Vi är väl medvetna om dessa anteckningar."
Därefter säger företaget att det uppgraderar sin QA-process och driver ut en säkerhetskorrigering för att åtgärda sårbarheten i mjukvaran. Dess QA-procedurer inkluderar nu en 2-stegs inspektion för att säkerställa att låsets fjäderpennamekanism är effektiv, medan en programvarukorrigering uppgraderar säkerhetsprotokollet som innehåller ytterligare autentiseringssteg. Patchen innefattar en appuppdatering samt en firmware-uppdatering, administrerad via företagets proprietära app.
Pishon Labs erbjöd också tack till Pen Test Partners för "det snabba och etiska avslöjandet i rätt tid."
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
