TappLock Corp., HiConsumption
PenTest Partners의 Infosec 전문가는 지난주 TappLock의 스마트 자물쇠 기술을 단 몇 초 만에 잠금 해제 할 수있는 테스트를 실시했습니다. 이 연구원들은 심각한 문제가 있다고 생각하는 디지털 인증 방법의 취약점을 악용 할 수있었습니다. PenTest의 기술자는 스마트 잠금 장치에 할당 된 Bluetooth 저에너지 MAC 주소를 알아낼 수있는 개인이 코드를 잠금 해제 할 수 있다고 믿었습니다.
이것은 대부분의 개인에게 간단한 작업은 아니지만 장치는이 주소를 브로드 캐스트하므로 무선 기술에 능숙한 사용자는 브로드 캐스트를 가로 채 자마자 잠금을 해제 할 수 있습니다. 그러한 방송을 가로채는 데 필요한 도구는 그러한 기술을 가진 사람들에게도 찾기 어렵지 않을 것입니다.
테살로니키의 IoT 연구원 인 Vangelis Stykas는 TappLock의 클라우드 기반 관리 도구도 취약점의 영향을 받는다는 보고서를 발표했습니다. 보고서에 따르면 계정에 로그인 한 사용자는 다른 사용자의 ID 이름을 알고있는 경우 다른 계정을 제어 할 수있는 권한이 기능적으로 부여됩니다.
TappLock은 현재 보안 HTTPS 연결을 사용하여 데이터를 홈베이스로 다시 전송하지 않는 것으로 보입니다. 또한 계정 ID는 실제 ID보다 집 주소에 더 가깝게 만드는 증분 공식을 기반으로합니다.
Stykas는 자신이 소유하지 않은 잠금의 인증 된 사용자로 자신을 추가 할 수 없다는 사실을 발견했습니다. 즉, 잠금 장치 뒤에있는 회사가 패치를 릴리스하지 않아도 취약점에 한계가 있다는 것을 의미합니다.
그러나 그는 계정에서 개인 정보의 일부를 읽을 수 있다고 말했습니다. 여기에는 잠금이 열린 마지막 위치가 포함됩니다. 이론적으로 공격자는 영역에 대한 물리적 액세스를 얻는 가장 좋은시기가 언제인지 알아낼 수 있습니다. 공식 앱으로 또 다른 자물쇠를 열 수 있었던 것 같다.
아직까지 패치에 대한 발표는 없지만 다른 취약점을 수정하기 위해 열심히 노력하고 있다는 점을 감안할 때 회사가 몇 가지 변경 사항을 곧 발표 할 것이라고 믿기는 어렵지 않습니다. 그럼에도 불구하고 연구원들은 앱에서 활성화 된 디지털 보안 기능에 관계없이 한 쌍의 구식 볼트 커터로 자물쇠를 뚫을 수 있음을 발견했습니다.
태그 infosec
