TappLock Corp., HiConsumption
Pakar Infosec dari PenTest Partners melakukan ujian minggu lalu di mana mereka dapat membuka kunci teknologi kunci pintar TappLock hanya dalam beberapa saat. Para penyelidik ini dapat memanfaatkan kelemahan dalam kaedah pengesahan digital, yang mereka rasakan mempunyai masalah serius. Juruteknik dari PenTest menyatakan bahawa mereka percaya seseorang yang dapat mengetahui alamat MAC Tenaga Rendah Bluetooth yang diberikan pada kunci pintar kemudian dapat membuka kodnya.
Walaupun ini bukan tugas mudah bagi kebanyakan individu, peranti ini menyiarkan alamat ini sehingga mereka yang mahir dengan teknologi tanpa wayar mungkin dapat mengurungkan kunci sebaik sahaja mereka memintas siaran. Alat yang diperlukan untuk memintas siaran seperti itu juga tidak akan sukar dicari bagi mereka yang mempunyai kemahiran tersebut.
Vangelis Stykas, seorang penyelidik IoT dari Thessaloniki, kini telah mengeluarkan laporan bahawa alat pentadbiran berasaskan cloud TappLock juga dipengaruhi oleh kerentanan. Laporan tersebut menyatakan bahawa mereka yang masuk ke akaun diberi kuasa secara fungsional untuk mengawal akaun lain sekiranya mereka mengetahui nama ID pengguna lain.
TappLock nampaknya tidak menggunakan sambungan HTTPS yang selamat untuk menghantar data kembali ke pangkalan rumah. Lebih-lebih lagi, ID akaun didasarkan pada formula tambahan yang menjadikannya lebih dekat dengan alamat rumah daripada ID sebenar.
Stykas mendapati bahawa dia tidak dapat menambahkan dirinya sebagai pengguna yang diberi kuasa bagi sebarang kunci yang bukan miliknya, yang bermaksud bahawa kerentanan itu mempunyai batasan walaupun syarikat di belakangnya tidak melepaskan tambalan.
Namun, dia menyatakan bahawa dia dapat membaca beberapa maklumat peribadi dari sebuah akaun. Ini termasuk lokasi terakhir di mana kunci dibuka. Secara teori, penyerang dapat mengetahui waktu terbaik untuk mendapatkan akses fizikal ke suatu kawasan. Nampaknya dia dapat membuka kunci lain dengan aplikasi rasmi.
Walaupun belum ada pengumuman mengenai tambalan belum, tidak sukar untuk mempercayai bahawa syarikat itu akan melepaskan beberapa perubahan dalam waktu dekat kerana mereka telah bekerja keras untuk memperbaiki kelemahan lain. Walaupun begitu, para penyelidik juga mendapati bahawa tanpa mengira fungsi keselamatan digital yang diaktifkan pada aplikasi, mereka masih dapat memotong kunci dengan sepasang pemotong baut kuno.
Teg infosec
