TappLock Corp., HiConsumption
Experții Infosec de la PenTest Partners au efectuat săptămâna trecută un test în care au reușit să deblocheze tehnologia lacătului inteligent TappLock în doar câteva secunde. Acești cercetători au reușit să exploateze vulnerabilitățile în metoda de autentificare digitală, despre care au considerat că au probleme serioase. Tehnicienii de la PenTest au remarcat că au crezut că o persoană care ar putea afla adresa MAC Bluetooth Low Energy atribuită blocării inteligente ar putea debloca codul.
Deși aceasta nu ar fi o sarcină simplă pentru majoritatea persoanelor, dispozitivul transmite această adresă, astfel încât cei calificați în tehnologia wireless ar putea să anuleze blocarea imediat ce au interceptat o transmisie. Nici instrumentele necesare pentru a intercepta o astfel de difuzare nu ar fi foarte greu de găsit pentru cei cu astfel de abilități.
Vangelis Stykas, cercetător IoT din Salonic, a lansat acum un raport conform căruia instrumentele de administrare bazate pe cloud ale TappLock sunt, de asemenea, influențate de o vulnerabilitate. Raportul afirmă că cei care se conectează la un cont sunt abilitați funcțional să controleze alte conturi dacă știu numele de identificare ale altor utilizatori.
TappLock nu pare să utilizeze în prezent o conexiune HTTPS sigură pentru a transmite datele înapoi la baza de domiciliu. Mai mult, ID-urile contului se bazează pe o formulă incrementală care le face mai aproape de adresele de domiciliu decât ID-urile reale.
Stykas a constatat că nu a putut să se adauge ca utilizator autorizat al vreunei încuietori care nu îi aparțin, ceea ce înseamnă că vulnerabilitatea are limitări chiar și fără ca firma din spatele încuietorii să elibereze un patch.
Cu toate acestea, a afirmat că poate citi câteva informații personale dintr-un cont. Aceasta include ultima locație în care a fost deschisă încuietoarea. În teorie, un atacator putea să-și dea seama care a fost cel mai bun moment pentru a obține acces fizic la o zonă. De asemenea, se pare că a reușit să deschidă încă o blocare cu aplicația oficială.
Deși nu au existat încă anunțuri despre patch-uri, nu este greu de crezut că compania va lansa unele modificări destul de curând, având în vedere că au lucrat din greu pentru a corecta alte vulnerabilități. Cu toate acestea, cercetătorii au descoperit, de asemenea, că, indiferent de funcțiile de securitate digitală activate în aplicație, au reușit să treacă încuietoare cu o pereche de tăietori de șuruburi de modă veche.
Etichete infosec
![[REMEDIERE] Problemă la pornirea LenovoBatteryGaugePackage.dll](https://jf-balio.pt/img/how-tos/60/problem-starting-lenovobatterygaugepackage.png)
