TappLock Corp., HiConsuming
На прошлой неделе эксперты Infosec из компании PenTest Partners провели тест, в ходе которого они смогли разблокировать технологию интеллектуального замка TappLock всего за несколько секунд. Эти исследователи смогли использовать уязвимости в методе цифровой аутентификации, который, по их мнению, имел серьезные проблемы. Специалисты PenTest отметили, что, по их мнению, человек, который может узнать MAC-адрес Bluetooth Low Energy, назначенный интеллектуальному замку, сможет разблокировать код.
Хотя для большинства людей это будет непростой задачей, устройство транслирует этот адрес, поэтому специалисты в области беспроводных технологий могут снять блокировку, как только перехватят передачу. Инструменты, необходимые для перехвата такой трансляции, также не составит большого труда найти тем, у кого есть такие навыки.
Вангелис Стикас, исследователь Интернета вещей из Салоников, опубликовал отчет о том, что облачные инструменты администрирования TappLock также подвержены уязвимости. В отчете говорится, что те, кто входит в учетную запись, функционально уполномочены контролировать другие учетные записи, если они знают имена идентификаторов других пользователей.
В настоящее время TappLock не использует безопасное соединение HTTPS для передачи данных обратно на базовую станцию. Более того, идентификаторы учетных записей основаны на инкрементной формуле, которая делает их ближе к домашним адресам, чем к фактическим идентификаторам.
Стикас обнаружил, что он не может добавить себя в качестве авторизованного пользователя какой-либо блокировки, которая ему не принадлежит, а это означает, что уязвимость имеет ограничения, даже если компания, стоящая за блокировкой, не выпустит исправление.
Однако он заявил, что может прочитать некоторые фрагменты личной информации из учетной записи. Это включает последнее место, где замок был открыт. Теоретически злоумышленник может определить, когда лучше всего получить физический доступ к определенной области. Также кажется, что он смог открыть еще один замок с помощью официального приложения.
Хотя пока не было никаких заявлений об исправлениях, нетрудно поверить, что компания выпустит некоторые изменения достаточно скоро, учитывая, что они много работали над исправлением других уязвимостей. Тем не менее, исследователи также обнаружили, что независимо от того, какие функции цифровой безопасности были включены в приложении, они все равно могли вскрыть замок с помощью пары старомодных болторезных инструментов.
Теги информационная безопасность
![[FIX] Код ошибки Nintendo Switch 9001-0026](https://jf-balio.pt/img/how-tos/79/nintendo-switch-error-code-9001-0026.png)
![[FIX] Не удается запустить LOTRO в Windows 10](https://jf-balio.pt/img/how-tos/27/cannot-launch-lotro-windows-10.jpg)
