Для продукту, вартість якого перевищує 300 000 доларів США Indiegogo — понад 500 відсотків від початкової мети — у Tapplock поганий тиждень у відділі безпеки. Зокрема, деякі дружні хакери в Партнери Pen Test змогли зламати розумний замок із підтримкою Bluetooth за лічені секунди, використовуючи лише мобільний телефон.
Розблоковано
Цифрові тенденції написав про замок і його «передовий зашифрований датчик відбитків пальців» ще в 2016 році, але розумний замок за 100 доларів виявляється бути досить вразливим до проникнення безпеки, як з точки зору його фізичного складу, так і його безпеки платформа.
Рекомендовані відео
По-перше, його фізичний склад дещо скомпрометований. Звісно, пара ріжучих інструментів може пройти крізь замок, як гарячий ніж крізь масло, але це стосується більшості замків споживчого ринку. Не зважайте, що замок навіть не водонепроникний, а просто «водостійкий». Виявляється, замок виготовлено з промислового сплаву під назвою Zamak 3, який складається з цинк алюміній, який частіше зустрічається в литих під тиском іграшках і дверних ручках, елемент, який не міцний, крихкий і плавиться при температурах нижче 800 градусів Фаренгейт. Для порівняння, повітряна паяльна лампа горить при температурі понад 3600 градусів за Фаренгейтом, а факел, що живиться киснем, — при температурі понад 5000 градусів.
Але це ще не все, що стосується фізичної безпеки. Кілька ютуберів вже виклали відео, які демонструють крихкість замку. 1 червня зателефонував користувач JerryRigEverything зміг застосувати липке кріплення GoPro, щоб зняти задню частину замка, розібрати його за допомогою викрутки та відкрити дужку. Згодом CNET спробував той самий трюк і не зміг зламати замок, тож питання про те, чи надійний замок фізично, залишається невідомим.
Тим часом компанія Tapplock опублікувала заяву про те, що всі майбутні партії замків використовуватимуть фірмові гвинти у внутрішніх камерах як вторинний захисний механізм. Компанія також пропонує безкоштовну заміну будь-якому клієнту, який зможе зламати задню кришку, не пошкодивши замок.
Серія TappLock: ваш відбиток пальця, ваш TappLock
Тим часом компанія має справу з більшим головним болем, пов’язаним із тим, що партнери Pen Test Partners можуть зламати внутрішнє програмне забезпечення Tapplock у менше двох секунд. Процес зайняв тестери на проникнення менше години. Програмне забезпечення не тільки транслювало через незашифровані лінії HTTP, але й блокування щоразу використовували ті самі дані. Будь-який зловмисник у тій самій мережі може пронюхати трафік, отримати дані розблокування та використовувати їх, щоб розблокувати пристрій назавжди. Немає скидання до заводських налаштувань блокування.
«Такий рівень безпеки абсолютно неприйнятний», написав Дослідник Pen Test Partners Ендрю Тірні. «Споживачі заслуговують на краще, і таке поводження з клієнтами є надзвичайно неповажним. Чесно кажучи, я втратив слова».
Коли повідомили про спину, спонсор Tapplock Лабораторія Пішон сказав Тієрні: «Ми добре знаємо ці нотатки».
Згодом компанія повідомляє, що оновлює процес контролю якості та випускає патч безпеки для усунення вразливості програмного забезпечення. Його процедури контролю якості тепер включають двоетапну перевірку, щоб переконатися, що пружинний механізм замка справний ефективний, тоді як програмне виправлення оновлює протокол безпеки, що включає додаткові кроки автентифікації. Патч передбачає оновлення додатка, а також оновлення мікропрограми, що здійснюється через фірмовий додаток компанії.
Pishon Labs також пропонує Дякую партнерам Pen Test за «своєчасне та етичне розкриття інформації».
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
