ТаппЛоцк Цорп., ХиЦонсумптион
Стручњаци Инфосец-а из ПенТест Партнерс направили су тест прошле недеље где су успели да откључају ТаппЛоцк-ову паметну технологију катанца за само неколико секунди. Ови истраживачи су могли да искористе рањивости у методи дигиталне аутентификације, за коју су сматрали да има озбиљних проблема. Техничари из компаније ПенТест приметили су да верују да појединац који може да сазна Блуетоотх нискоенергетску МАЦ адресу која је додељена паметној брави може да откључа код.
Иако то за већину појединаца не би био једноставан задатак, уређај емитује ову адресу, тако да би они који су вешти бежичној технологији могли да откажу закључавање чим пресретну емитовање. Алате потребне за пресретање таквог емитовања не би било тешко пронаћи ни онима који имају такве вештине.
Вангелис Стикас, ИоТ истраживач из Солуна, објавио је извештај да су ТаппЛоцк-ови административни алати засновани на облаку такође под утицајем рањивости. Извештај наводи да су они који се пријаве на налог функционално овлашћени да контролишу друге налоге ако знају ИД имена других корисника.
Чини се да ТаппЛоцк тренутно не користи сигурну ХТТПС везу за пренос података назад у матичну базу. Штавише, ИД-ови рачуна засновани су на инкременталној формули која их чини ближим кућним адресама него стварним ИД-овима.
Стикас је открио да није могао да се дода као овлашћени корисник било које браве која му није припадала, што значи да рањивост има ограничења чак и ако компанија иза браве није пустила закрпу.
Међутим, изјавио је да је могао да прочита неке делове личних података са налога. То укључује последњу локацију на којој је брава отворена. У теорији, нападач је могао открити које је најбоље време за физички приступ одређеној области. Такође се чини да је службеном апликацијом успео да отвори још једну браву.
Иако још увек није било најава о закрпама, није тешко поверовати да ће компанија довољно брзо објавити неке промене с обзиром да су напорно радиле на исправљању других рањивости. Па ипак, истраживачи су такође открили да су без обзира на то које функције дигиталне заштите биле омогућене у апликацији и даље успели да прођу кроз браву са пар старомодних резача завртња.
Ознаке инфосец
