„TappLock Corp.“, „HiConsumption“
„InfTec“ ekspertai iš „PenTest Partners“ praėjusią savaitę parengė testą, kuriame vos per kelias sekundes sugebėjo atrakinti išmaniąją „TappLock“ spynos technologiją. Šie tyrėjai galėjo pasinaudoti skaitmeninio autentifikavimo metodo pažeidžiamumais, kurie, jų manymu, turėjo rimtų problemų. „PenTest“ technikai pažymėjo, kad, jų manymu, asmuo, galintis sužinoti išmaniajam užraktui priskirtą „Bluetooth Low Energy MAC“ adresą, gali atrakinti kodą.
Nors daugeliui žmonių tai nebūtų paprasta užduotis, įrenginys šį adresą transliuoja, kad įgudę naudotis belaidžio ryšio technologijomis, spėtų panaikinti užraktą, kai tik perims transliaciją. Priemonių, reikalingų tokiai transliacijai perimti, taip pat nebus sunku rasti turintiems tokių įgūdžių.
Vangelis Stykas, IoT tyrėjas iš Salonikų, dabar paskelbė ataskaitą, kad „TappLock“ debesyje pagrįstiems administravimo įrankiams įtakos turi ir pažeidžiamumas. Ataskaitoje teigiama, kad tie, kurie prisijungia prie paskyros, yra funkciškai įgalioti valdyti kitas paskyras, jei žino kitų vartotojų ID vardus.
Panašu, kad „TappLock“ šiuo metu nenaudoja saugaus HTTPS ryšio, kad perduotų duomenis atgal į namų bazę. Be to, sąskaitų ID yra pagrįsti didėjančia formule, dėl kurios jie yra arčiau namų adresų nei faktiniai ID.
Stykas nustatė, kad jis negalėjo pridėti savęs kaip įgalioto bet kurio jam nepriklausančio užrakto naudotojo, o tai reiškia, kad pažeidžiamumas turi tam tikrų apribojimų, net jei už užrakto esanti įmonė neišleidžia pleistro.
Tačiau jis pareiškė, kad iš paskyros gali perskaityti keletą asmeninės informacijos. Tai apima paskutinę spynos atidarymo vietą. Teoriškai užpuolikas galėjo išsiaiškinti, koks yra geriausias laikas fiziškai patekti į teritoriją. Taip pat atrodo, kad jis galėjo atidaryti dar vieną spyną naudodamas oficialią programą.
Nors iki šiol nebuvo jokių pranešimų apie pleistrus, nesunku patikėti, kad bendrovė pakankamai greitai išleis kai kuriuos pakeitimus, turėdama omenyje, kad jie sunkiai dirba, kad pašalintų kitas spragas. Nepaisant to, tyrėjai taip pat nustatė, kad, nepaisant to, kokios skaitmeninio saugumo funkcijos buvo įjungtos programoje, jie vis tiek sugebėjo išpjauti spyną senoviniais varžtų pjaustytuvais.
Žymos infosek
