TappLock Corp, HiConsumption
Infosec eksperti no PenTest Partners pagājušajā nedēļā sagatavoja testu, kurā tikai dažu sekunžu laikā viņi varēja atbloķēt TappLock viedo piekaramo atslēgu tehnoloģiju. Šie pētnieki varēja izmantot digitālās autentifikācijas metodes ievainojamības, kurām, viņuprāt, bija nopietnas problēmas. PenTest tehniķi atzīmēja, ka, pēc viņu domām, indivīds, kurš varētu uzzināt viedajai slēdzenei piešķirto Bluetooth zemas enerģijas MAC adresi, pēc tam varētu atbloķēt kodu.
Lai gan lielākajai daļai cilvēku tas nebūtu vienkāršs uzdevums, ierīce pārraida šo adresi, lai bezvadu tehnoloģiju lietpratēji varētu atcelt bloķēšanu, tiklīdz viņi pārtver raidījumu. Instrumentus, kas nepieciešami šādas pārraides pārtveršanai, arī tiem, kuriem ir šādas prasmes, atrast nebūs ļoti grūti.
Saloniku IoT pētnieks Vangelis Stykas tagad ir izlaidis ziņojumu, ka ievainojamība ietekmē arī TappLock mākoņdatošanas administrēšanas rīkus. Pārskatā norādīts, ka tie, kas piesakās kontā, ir funkcionāli pilnvaroti kontrolēt citus kontus, ja zina citu lietotāju ID vārdus.
Šķiet, ka TappLock pašlaik neizmanto drošu HTTPS savienojumu, lai pārsūtītu datus atpakaļ uz mājas bāzi. Turklāt konta ID pamatā ir pieaugošā formula, kas tos padara tuvāk mājas adresēm nekā faktiskos ID.
Stykas atklāja, ka viņš nevarēja pievienot sevi kā pilnvarotu lietotāju jebkurai slēdzenei, kas viņam nepiederēja, tas nozīmē, ka ievainojamībai ir ierobežojumi pat tad, ja uzņēmums, kurš atrodas aiz slēdzenes, neatbrīvo plāksteri.
Viņš tomēr paziņoja, ka no konta var nolasīt dažus personiskās informācijas gabalus. Tas ietver pēdējo vietu, kur slēdzene tika atvērta. Teorētiski uzbrucējs varēja noskaidrot, kāds ir labākais laiks, lai fiziski piekļūtu apgabalam. Šķiet arī, ka viņš varēja atvērt vēl vienu slēdzeni ar oficiālo lietotni.
Lai gan līdz šim nav bijuši paziņojumi par ielāpiem, nav grūti noticēt, ka uzņēmums pietiekami drīz atbrīvos dažas izmaiņas, ņemot vērā, ka viņi ir smagi strādājuši, lai labotu citas ievainojamības. Neskatoties uz to, pētnieki arī atklāja, ka neatkarīgi no tā, kādas digitālās drošības funkcijas bija iespējotas lietotnē, viņi joprojām varēja izgriezt slēdzeni ar pāris vecmodīgiem skrūvju griezējiem.
Tagi infosek
