شركة TappLock ، HiConsumption
أجرى خبراء Infosec من PenTest Partners اختبارًا الأسبوع الماضي حيث تمكنوا من فتح تقنية القفل الذكي من TappLock في بضع ثوانٍ فقط. تمكن هؤلاء الباحثون من استغلال الثغرات الأمنية في طريقة المصادقة الرقمية ، والتي شعروا بوجود مشكلات خطيرة فيها. لاحظ الفنيون من PenTest أنهم يعتقدون أن أي فرد يمكنه معرفة عنوان MAC منخفض الطاقة بتقنية Bluetooth المخصص للقفل الذكي يمكنه بعد ذلك فتح الرمز.
على الرغم من أن هذه ليست مهمة بسيطة لمعظم الأفراد ، إلا أن الجهاز يبث هذا العنوان حتى يتمكن المهرة في التكنولوجيا اللاسلكية من التراجع عن القفل بمجرد اعتراض البث. الأدوات اللازمة لاعتراض مثل هذا البث لن يكون من الصعب للغاية العثور عليها لمن لديهم مثل هذه المهارات أيضًا.
أصدر Vangelis Stykas ، الباحث في IoT من Thessaloniki ، تقريرًا يفيد بأن أدوات الإدارة المستندة إلى السحابة من TappLock تتأثر أيضًا بالثغرة الأمنية. يذكر التقرير أن أولئك الذين يسجلون الدخول إلى حساب ما لديهم صلاحيات وظيفية للتحكم في الحسابات الأخرى إذا كانوا يعرفون أسماء معرفات المستخدمين الآخرين.
لا يبدو أن TappLock يستخدم حاليًا اتصال HTTPS آمنًا لإرسال البيانات مرة أخرى إلى القاعدة الرئيسية. علاوة على ذلك ، تستند معرفات الحساب إلى صيغة تزايدية تجعلها أقرب إلى عناوين المنازل من المعرفات الفعلية.
اكتشف Stykas أنه غير قادر على إضافة نفسه كمستخدم معتمد لأي قفل لا يخصه ، مما يعني أن الثغرة الأمنية لها قيود حتى بدون قيام الشركة التي تقف وراء القفل بإصدار تصحيح.
ومع ذلك ، فقد ذكر أنه يمكنه قراءة بعض أجزاء المعلومات الشخصية من حساب. يتضمن ذلك آخر موقع تم فتح القفل فيه. من الناحية النظرية ، يمكن للمهاجم معرفة ما هو أفضل وقت للوصول المادي إلى منطقة ما. يبدو أيضًا أنه تمكن من فتح قفل آخر باستخدام التطبيق الرسمي.
على الرغم من عدم وجود أي إعلانات حول التصحيحات حتى الآن ، فليس من الصعب تصديق أن الشركة ستصدر بعض التغييرات قريبًا بما يكفي بالنظر إلى أنها تعمل بجد لتصحيح الثغرات الأمنية الأخرى. ومع ذلك ، وجد الباحثون أيضًا أنه بغض النظر عن وظائف الأمان الرقمي التي تم تمكينها على التطبيق ، فإنهم لا يزالون قادرين على اختراق القفل باستخدام زوج من قواطع البراغي القديمة.
العلامات أمن المعلومات
