TappLock Corp., HiConsumption
Experti spoločnosti Infosec z PenTest Partners predviedli minulý týždeň test, v ktorom dokázali za pár sekúnd odomknúť technológiu inteligentného visacieho zámku TappLock. Títo vedci dokázali zneužiť slabé miesta v metóde digitálneho overovania, ktoré mali podľa nich vážne problémy. Technici z PenTest poznamenali, že veria, že jednotlivec, ktorý by mohol zistiť adresu Bluetooth Low Energy MAC priradenú inteligentnému zámku, by potom mohol kód odomknúť.
Aj keď by to pre väčšinu jednotlivcov nebola jednoduchá úloha, zariadenie túto adresu vysiela, takže odborníci v oblasti bezdrôtových technológií môžu byť schopní uvoľniť zámok hneď, ako zachytia vysielanie. Nástroje potrebné na zachytenie takéhoto vysielania by tiež neboli veľmi ťažké nájsť pre tých, ktorí majú také schopnosti.
Vangelis Stykas, výskumník IoT zo Solúna, teraz vydal správu, že cloudové administračné nástroje TappLock sú tiež ovplyvnené chybou zabezpečenia. Správa uvádza, že tí, ktorí sa prihlásia do účtu, sú funkčne oprávnení ovládať iné účty, ak poznajú ID mená iných používateľov.
Zdá sa, že TappLock momentálne nepoužíva zabezpečené pripojenie HTTPS na prenos údajov späť do domácej základne. Identifikátory účtov sú navyše založené na prírastkovom vzorci, ktorý ich približuje k domovským adresám ako skutočné identifikátory.
Stykas zistil, že sa nemohol pridať ako autorizovaný používateľ zámku, ktorý mu nepatril, čo znamená, že zraniteľnosť má obmedzenia aj bez toho, aby spoločnosť za zámkom vydala opravu.
Uviedol však, že z účtu môže načítať niektoré osobné údaje. Patrí sem posledné miesto, kde bol zámok otvorený. Teoreticky by útočník mohol zistiť, aký bol najlepší čas na získanie fyzického prístupu do oblasti. Tiež sa zdá, že pomocou oficiálnej aplikácie dokázal otvoriť ďalší zámok.
Aj keď zatiaľ o opravných aktualizáciách zatiaľ neexistujú žiadne oznámenia, nie je ťažké uveriť, že spoločnosť čoskoro vydá niektoré zmeny vzhľadom na to, že usilovne pracuje na náprave ďalších chýb zabezpečenia. Vedci tiež zistili, že bez ohľadu na to, aké digitálne bezpečnostné funkcie boli v aplikácii povolené, boli stále schopní preťať zámok pomocou dvojice staromódnych rezačov skrutiek.
Značky infosec
