TappLock Corp., HiConsuming
Ang mga eksperto ng Infosec mula sa PenTest Partners ay nag-preform ng isang pagsubok noong nakaraang linggo kung saan na-unlock nila ang matalinong teknolohiya ng padlock ng TappLock sa loob lamang ng ilang segundo. Ang mga mananaliksik na ito ay nagawang samantalahin ang mga kahinaan sa pamamaraang digital na pagpapatotoo, na sa palagay nila ay may mga seryosong isyu. Ang mga tekniko mula sa PenTest ay nagbigay ng paniniwala na ang isang indibidwal na maaaring malaman ang Bluetooth Low Energy MAC address na nakatalaga sa smart lock ay maaaring mag-unlock ng code.
Bagaman hindi ito magiging isang simpleng gawain para sa karamihan ng mga indibidwal, ise-broadcast ng aparato ang address na ito upang ang mga may kasanayan sa teknolohiyang wireless ay maaaring ma-undo ang lock sa sandaling maharang nila ang isang pag-broadcast. Ang mga tool na kinakailangan upang maharang ang naturang pag-broadcast ay hindi magiging mahirap makahanap para sa mga may ganoong mga kasanayan din.
Si Vangelis Stykas, isang mananaliksik ng IoT mula sa Thessaloniki, ay naglabas ngayon ng isang ulat na ang mga tool sa pangangasiya na batay sa cloud ng TappLock ay naiimpluwensyahan din ng isang kahinaan. Nakasaad sa ulat na ang mga nag-log in sa isang account ay may kakayahang magbigay kapangyarihan upang makontrol ang iba pang mga account kung alam nila ang mga pangalan ng ID ng iba pang mga gumagamit.
Ang TappLock ay hindi lilitaw na kasalukuyang gumagamit ng isang ligtas na koneksyon sa HTTPS upang maipadala ang data pabalik sa home base. Bukod dito, ang mga account ID ay batay sa isang incremental na formula na ginagawang mas malapit sila sa mga address sa bahay kaysa sa mga aktwal na ID.
Nalaman ni Stykas na hindi niya nagawang idagdag ang kanyang sarili bilang isang awtorisadong gumagamit ng anumang kandado na hindi pagmamay-ari niya, nangangahulugang ang kahinaan ay may mga limitasyon kahit wala ang kumpanya sa likod ng lock na naglalabas ng isang patch.
Gayunpaman, sinabi niya na makakabasa siya ng ilang piraso ng personal na impormasyon mula sa isang account. Kasama rito ang huling lokasyon kung saan binuksan ang lock. Sa teorya, maaaring malaman ng isang umaatake kung ano ang pinakamahusay na oras upang makakuha ng pisikal na pag-access sa isang lugar. Mukhang nabuksan din niya ang isa pang lock gamit ang opisyal na app.
Habang wala pang mga anunsyo tungkol sa mga patch ngayon, hindi mahirap paniwalaan na magpapalabas ang kumpanya ng ilang mga pagbabago sa lalong madaling panahon na isinasaalang-alang na nagsumikap sila upang iwasto ang iba pang mga kahinaan. Gayunpaman, natagpuan din ng mga mananaliksik na hindi alintana kung anong mga pagpapaandar sa digital security ang pinagana sa app na nagawa pa rin nilang i-cut ang kandado gamit ang isang pares ng mga luma na bolter cutter.
Mga tag infosec
