Logo nowadaytechnol.com

Neuer Bericht Nennt Zusätzliche Sicherheitsanfälligkeiten In Der TappLock-App

Neuer Bericht Nennt Zusätzliche Sicherheitsanfälligkeiten In Der TappLock-App
Neuer Bericht Nennt Zusätzliche Sicherheitsanfälligkeiten In Der TappLock-App

Video: Neuer Bericht Nennt Zusätzliche Sicherheitsanfälligkeiten In Der TappLock-App

Video: Neuer Bericht Nennt Zusätzliche Sicherheitsanfälligkeiten In Der TappLock-App
Video: Tapplock One+ Smart Padlock Review 2024, März
Anonim
Image
Image

Infosec-Experten von PenTest Partners haben letzte Woche einen Test durchgeführt, bei dem sie die intelligente Vorhängeschloss-Technologie von TappLock in nur wenigen Sekunden entsperren konnten. Diese Forscher konnten Schwachstellen in der digitalen Authentifizierungsmethode ausnutzen, von denen sie glaubten, dass sie schwerwiegende Probleme hatten. Die Techniker von PenTest bemerkten, dass eine Person, die die dem Smart Lock zugewiesene Bluetooth Low MAC-Adresse herausfinden könne, den Code dann entsperren könne.

Während dies für die meisten Personen keine einfache Aufgabe wäre, sendet das Gerät diese Adresse, sodass Fachleute mit drahtloser Technologie die Sperre möglicherweise aufheben können, sobald sie die Übertragung abgefangen haben. Die Werkzeuge, die zum Abfangen solcher Sendungen benötigt werden, wären auch für diejenigen mit solchen Fähigkeiten nicht sehr schwer zu finden.

Vangelis Stykas, ein IoT-Forscher aus Thessaloniki, hat jetzt einen Bericht veröffentlicht, wonach die Cloud-basierten Verwaltungstools von TappLock auch von Sicherheitslücken beeinflusst werden. Der Bericht besagt, dass diejenigen, die sich bei einem Konto anmelden, funktional befugt sind, andere Konten zu steuern, wenn sie die ID-Namen anderer Benutzer kennen.

TappLock scheint derzeit keine sichere HTTPS-Verbindung zu verwenden, um Datback an die Heimatbasis zu übertragen. Darüber hinaus basieren Konto-IDs auf einer inkrementellen Formel, die sie näher an Privatadressen als an tatsächlichen IDs macht.

Stykas stellte fest, dass er sich nicht als autorisierter Benutzer eines Schlosses hinzufügen konnte, das ihm nicht gehörte, was bedeutet, dass die Sicherheitsanfälligkeit auch dann Einschränkungen aufweist, wenn das Unternehmen hinter dem Patch zur Freigabe des Schlosses steht.

Er gab jedoch an, dass er einige persönliche Informationen aus einem Konto lesen könne. Dies schließt den letzten Ort ein, an dem das Schloss geöffnet wurde. Theoretisch könnte ein Angreifer herausfinden, wann der beste Zeitpunkt war, um physischen Zugang zu einem Arewas zu erhalten. Es scheint auch, dass er mit der offiziellen App ein weiteres Schloss öffnen konnte.

Obwohl noch keine Ankündigungen zu Patches vorliegen, ist es nicht schwer zu glauben, dass das Unternehmen einige Änderungen früh genug veröffentlichen wird, wenn man bedenkt, dass es hart daran gearbeitet hat, andere Schwachstellen zu beheben. Die Forscher fanden jedoch auch heraus, dass sie unabhängig davon, welche digitalen Sicherheitsfunktionen in der App aktiviert waren, mit zwei altmodischen Bolzenschneidern das Schloss durchschneiden konnten.

Empfohlen: