TappLock Corp., HiConsumption
Експертите на Infosec от PenTest Partners направиха тест миналата седмица, където успяха да отключат технологията за интелигентно заключване на TappLock само за няколко секунди. Тези изследователи са успели да използват уязвимости в метода на цифровото удостоверяване, което според тях е имало сериозни проблеми. Техниците от PenTest отбелязаха, че вярват, че човек, който може да разбере MAC адреса на Bluetooth с ниска енергия, присвоен на интелигентната ключалка, може да отключи кода.
Въпреки че това не би било проста задача за повечето хора, устройството излъчва този адрес, така че специалистите с безжична технология може да успеят да отменят заключването веднага щом прихванат излъчване. Инструментите, необходими за прихващане на такова предаване, не би било много трудно да се намерят и за тези с такива умения.
Vangelis Stykas, изследовател на IoT от Солун, сега публикува доклад, че базираните в облак инструменти за управление на TappLock също са повлияни от уязвимост. В доклада се посочва, че тези, които влизат в акаунт, са функционално упълномощени да контролират други акаунти, ако знаят имената на ID на други потребители.
Изглежда, че TappLock понастоящем не използва защитена HTTPS връзка за предаване на данни обратно към домашната база. Освен това идентификаторите на акаунти се основават на допълнителна формула, която ги прави по-близки до домашните адреси, отколкото действителните идентификатори.
Stykas установи, че не е в състояние да се добави като оторизиран потребител на която и да е брава, която не му принадлежи, което означава, че уязвимостта има ограничения, дори без компанията зад ключалката да пусне кръпка.
Той обаче заяви, че може да прочете битове лична информация от акаунт. Това включва последното местоположение на мястото, където е била отворена ключалката. На теория нападателят може да разбере кое е най-доброто време за получаване на физически достъп до дадена област. Изглежда също, че той е успял да отвори друга ключалка с официалното приложение.
Въпреки че все още няма съобщения за кръпки, не е трудно да се повярва, че компанията ще пусне някои промени достатъчно скоро, като се има предвид, че са работили усилено за коригиране на други уязвимости. Независимо от това, изследователите също установиха, че независимо от това кои цифрови функции за сигурност са били активирани в приложението, те все още са в състояние да пробият ключалката с чифт старомодни ножове за болтове.
Етикети инфосек
