TappLock Corp., HiConsumption
Strokovnjaki podjetja Infosec iz podjetja PenTest Partners so prejšnji teden opravili test, na katerem so lahko v samo nekaj sekundah odklenili pametno tehnologijo ključavnic TappLock. Ti raziskovalci so lahko izkoristili ranljivosti pri metodi digitalne overitve, za katero so menili, da ima resne težave. Tehniki iz podjetja PenTest so pripomnili, da verjamejo, da lahko posameznik, ki bi lahko ugotovil naslov MAC Bluetooth Low Energy, dodeljen pametni ključavnici, odklene kodo.
Čeprav to za večino posameznikov ne bi bila preprosta naloga, naprava odda ta naslov, tako da bodo lahko strokovnjaki z brezžično tehnologijo ključavnico razveljavili takoj, ko bodo prestregli oddajo. Tudi orodij, potrebnih za prestrezanje take oddaje, ne bi bilo težko najti za tiste s takšnimi znanji.
Vangelis Stykas, raziskovalec IoT iz Soluna, je zdaj objavil poročilo, da ranljivost vpliva tudi na orodja za upravljanje v oblaku, ki temeljijo na TappLocku. Poročilo navaja, da so tisti, ki se prijavijo v račun, funkcionalno pooblaščeni za nadzor drugih računov, če poznajo imena drugih uporabnikov.
Zdi se, da TappLock trenutno ne uporablja varne povezave HTTPS za prenos podatkov nazaj v domačo bazo. Poleg tega ID-ji računov temeljijo na postopni formuli, zaradi katere so bližje domačim naslovom kot dejanskim ID-jem.
Stykas je ugotovil, da se ni mogel dodati kot pooblaščeni uporabnik nobene ključavnice, ki mu ni pripadala, kar pomeni, da ima ranljivost omejitve, tudi če podjetje za ključavnico ni izdalo popravka.
Vendar je izjavil, da je z računa lahko prebral nekaj delčkov osebnih podatkov. To vključuje zadnje mesto, kjer je bila ključavnica odprta. Teoretično bi lahko napadalec ugotovil, kdaj je bil najboljši čas za fizični dostop do območja. Zdi se tudi, da je z uradno aplikacijo lahko odprl še eno ključavnico.
Čeprav za zdaj še ni bilo nobenih obvestil o popravkih, ni težko verjeti, da bo podjetje dovolj kmalu izdalo nekatere spremembe, saj si je prizadevalo odpraviti druge ranljivosti. Kljub temu so raziskovalci tudi ugotovili, da so kljub temu, katere digitalne varnostne funkcije so bile omogočene v aplikaciji, kljub temu še vedno lahko prerezali ključavnico s parom staromodnih rezalnikov vijakov.
Oznake infosec
