TappLock Corp., HiConsumption
A PenTest Partners Infosec szakértői a múlt héten elkészítettek egy tesztet, ahol néhány másodperc alatt fel tudták oldani a TappLock intelligens lakat technológiáját. Ezek a kutatók kiaknázhatták a digitális hitelesítési módszer sérülékenységeit, amelyekről úgy gondolták, hogy komoly problémáik vannak. A PenTest technikusai megjegyezték, hogy szerintük az a személy, aki megtudhatja az intelligens zárhoz rendelt Bluetooth Low Energy MAC címet, feloldhatja a kódot.
Noha ez a legtöbb ember számára nem lenne egyszerű feladat, az eszköz sugározza ezt a címet, így a vezeték nélküli technológiában jártasak képesek lesznek visszavonni a zárat, amint elfogják az adást. Az ilyen közvetítés lehallgatásához szükséges eszközöket sem lenne nagyon nehéz megtalálni az ilyen képességekkel rendelkezők számára.
Vangelis Stykas, a thesszaloniki IoT kutatója most közzétett egy jelentést, miszerint a TappLock felhőalapú adminisztrációs eszközeire is hatással van egy sebezhetőség. A jelentés kimondja, hogy azok, akik bejelentkeznek egy fiókba, funkcionálisan jogosultak más fiókok ellenőrzésére, ha tudják a többi felhasználó azonosító nevét.
Úgy tűnik, hogy a TappLock jelenleg nem használ biztonságos HTTPS kapcsolatot az adatok továbbításához az otthoni bázisra. Ezenkívül a fiók-azonosítók növekményes képleten alapulnak, amely közelebb hozza őket az otthoni címekhez, mint a tényleges azonosítók.
Stykas megállapította, hogy nem tudta felvenni magát olyan zár felhatalmazott felhasználójaként, amely nem tartozik hozzá, ami azt jelenti, hogy a sérülékenységnek vannak korlátai még akkor is, ha a zár mögött álló vállalat nem ad ki javítást.
Ugyanakkor kijelentette, hogy néhány személyes adatot el tud olvasni egy számláról. Ide tartozik a zár utolsó nyitási helye is. Elméletileg egy támadó kitalálhatná, hogy mi a legjobb alkalom a fizikai hozzáférés megszerzésére egy területre. Az is látszik, hogy a hivatalos alkalmazással újabb zárat tudott kinyitni.
Bár egyelőre nem érkezett bejelentés a javításokról, nem nehéz elhinni, hogy a vállalat elég hamar kiad néhány változtatást, tekintve, hogy keményen dolgoztak más sebezhetőségek kijavításán. Mindazonáltal a kutatók azt is megállapították, hogy függetlenül attól, hogy milyen digitális biztonsági funkciók voltak engedélyezve az alkalmazásban, mégis képesek voltak áthágni a zárat egy régimódi csavarvágóval.
Címkék infosec
