TappLock Corp, HiConsumption
PenTest Partnersi Infoseci eksperdid koostasid eelmisel nädalal testi, kus nad suutsid TappLocki nutika tabaluku tehnoloogia avada vaid mõne sekundiga. Need teadlased suutsid ära kasutada digitaalse autentimise meetodi haavatavusi, millel oli nende arvates tõsiseid probleeme. PenTesti tehnikud märkisid, et nad uskusid, et üks inimene, kes saaks teada nutilukule määratud Bluetoothi madala energiatarbega MAC-aadressi, saaks koodi avada.
Kuigi see ei oleks enamiku inimeste jaoks lihtne ülesanne, edastab seade seda aadressi, nii et traadita tehnoloogiaga oskajad saaksid lukustuse kohe pärast ülekande pealtkuulamist tühistada. Sellise ülekande pealtkuulamiseks vajalikke tööriistu ei oleks ka selliste oskustega inimestele väga raske leida.
Thessaloniki IoT uurija Vangelis Stykas avaldas nüüd aruande, et haavatavus mõjutab ka TappLocki pilvepõhiseid haldustööriistu. Aruandes märgitakse, et kontole sisselogijad on funktsionaalselt volitatud teisi kontosid kontrollima, kui nad teavad teiste kasutajate ID-nimesid.
Näib, et TappLock ei kasuta andmete edastamiseks kodubaasi praegu turvalist HTTPS-ühendust. Pealegi põhinevad konto ID-d kasvavalemil, mis muudab need koduaadressidele lähemale kui tegelikud ID-d.
Stykas leidis, et ta ei suutnud lisada ennast lukustuse volitatud kasutajaks, mis ei kuulunud talle, see tähendab, et haavatavusel on tõepoolest piiranguid ka ilma luku taga oleva ettevõtteta plaastrit vabastamata.
Ta teatas siiski, et suudab kontolt lugeda natuke isikuandmeid. See hõlmab luku avamise viimast asukohta. Teoreetiliselt suutis ründaja välja mõelda, mis on parim aeg piirkonnale füüsilise juurdepääsu saamiseks. Samuti näib, et ta suutis ametliku rakendusega avada veel ühe luku.
Kuigi plaastrite kohta pole veel ühtegi teadet tulnud, pole raske uskuda, et ettevõte vabastaks mõned muudatused piisavalt kiiresti, arvestades, et nad on teinud palju tööd muude nõrkade kohtade parandamiseks. Sellegipoolest leidsid teadlased, et hoolimata sellest, millised digitaalsed turvafunktsioonid rakenduses olid lubatud, suutsid nad ikkagi vanamoodsate poltide lõikuritega luku läbi lõigata.
Sildid infosek
