TappLock Corp. , HiConsumption
ผู้เชี่ยวชาญของ Infosec จาก PenTest Partners ได้ทำการทดสอบล่วงหน้าเมื่อสัปดาห์ที่แล้วซึ่งพวกเขาสามารถปลดล็อกเทคโนโลยีแม่กุญแจอัจฉริยะของ TappLock ได้ในเวลาเพียงไม่กี่วินาที นักวิจัยเหล่านี้สามารถใช้ประโยชน์จากช่องโหว่ในวิธีการตรวจสอบสิทธิ์ดิจิทัลซึ่งพวกเขารู้สึกว่ามีปัญหาร้ายแรง ช่างเทคนิคจาก PenTest ตั้งข้อสังเกตว่าพวกเขาเชื่อว่าบุคคลที่สามารถค้นหาที่อยู่ MAC ของ Bluetooth Low Energy ที่กำหนดให้กับล็อคอัจฉริยะจะสามารถปลดล็อกรหัสได้
แม้ว่านี่จะไม่ใช่งานง่ายๆสำหรับคนส่วนใหญ่ แต่อุปกรณ์จะถ่ายทอดที่อยู่นี้ดังนั้นผู้ที่มีทักษะในการใช้เทคโนโลยีไร้สายอาจสามารถเลิกทำการล็อกได้ทันทีที่พวกเขาดักฟังการออกอากาศ เครื่องมือที่จำเป็นในการสกัดกั้นการแพร่ภาพดังกล่าวคงหาได้ไม่ยากสำหรับผู้ที่มีทักษะดังกล่าวเช่นกัน
Vangelis Stykas นักวิจัยด้าน IoT จาก Thessaloniki ได้เปิดเผยรายงานว่าเครื่องมือการดูแลระบบบนคลาวด์ของ TappLock ได้รับอิทธิพลจากช่องโหว่เช่นกัน รายงานระบุว่าผู้ที่ลงชื่อเข้าใช้บัญชีจะได้รับอำนาจหน้าที่ในการควบคุมบัญชีอื่น ๆ หากพวกเขาทราบชื่อ ID ของผู้ใช้รายอื่น
TappLock ดูเหมือนจะไม่ใช้การเชื่อมต่อ HTTPS ที่ปลอดภัยในการส่งข้อมูลกลับไปที่ฐานหลักในปัจจุบัน ยิ่งไปกว่านั้นรหัสบัญชีจะขึ้นอยู่กับสูตรที่เพิ่มขึ้นซึ่งทำให้ใกล้กับที่อยู่บ้านมากกว่ารหัสจริง
Stykas พบว่าเขาไม่สามารถเพิ่มตัวเองเป็นผู้ใช้ที่ได้รับอนุญาตของการล็อกใด ๆ ที่ไม่ได้เป็นของเขาซึ่งหมายความว่าช่องโหว่นั้นมีข้อ จำกัด แม้ว่าจะไม่มี บริษัท ที่อยู่เบื้องหลังการล็อกที่ปล่อยโปรแกรมแก้ไขก็ตาม
อย่างไรก็ตามเขาระบุว่าเขาสามารถอ่านข้อมูลส่วนตัวบางส่วนจากบัญชีได้ ซึ่งรวมถึงตำแหน่งสุดท้ายที่เปิดล็อค ตามทฤษฎีแล้วผู้โจมตีสามารถคิดได้ว่าเวลาใดที่ดีที่สุดในการเข้าถึงพื้นที่ทางกายภาพคือ ดูเหมือนว่าเขาจะสามารถเปิดล็อคอื่นด้วยแอปอย่างเป็นทางการได้
แม้ว่าจะยังไม่มีการประกาศใด ๆ เกี่ยวกับแพตช์ในตอนนี้ แต่ก็ไม่ยากที่จะเชื่อว่า บริษัท จะเผยแพร่การเปลี่ยนแปลงบางอย่างเร็วพอเนื่องจากพวกเขาพยายามอย่างเต็มที่เพื่อแก้ไขช่องโหว่อื่น ๆ อย่างไรก็ตามนักวิจัยยังพบว่าไม่ว่าจะเปิดใช้งานฟังก์ชั่นการรักษาความปลอดภัยดิจิทัลใดในแอปพวกเขาก็ยังสามารถตัดผ่านล็อคได้ด้วยเครื่องตัดสลักแบบเก่าคู่หนึ่ง
แท็ก infosec
