智能锁可以在几秒钟内被黑客入侵
2018/8/15 11:21:35 | 人气: 26
在其网站上,Tapplock被称为“世界上第一个智能指纹挂锁”。智能锁设计
但是研究人员表示,只需45分钟就能找到解锁任何Tapplock的方法。
作为回应,该公司承认该漏洞并表示它正在发布“一个重要的安全补丁”。
来自Pen Test Partners(PTP)的安全专家安德鲁·蒂尔尼(Andrew Tierney)在博客中概述了他是如何破解锁定的。
“你可以走到任何一个Tapplock并在两秒钟内解锁它。它不需要任何技能或知识来做到这一点。”
他说,如果他第一次尝试侥幸的话,他又订了一把锁是多么容易,他感到非常“震惊”。
他说,锁的软件不需要采取简单的步骤来保护它所广播的数据,而是让几个“微不足道的”攻击开放。
其设计中的“主要缺陷”是设备的解锁密钥很容易被发现,因为它是由锁定广播的蓝牙低能耗ID生成的。
任何拥有智能手机的人都可以在接近Tapplock时扫描蓝牙设备时拿起此密钥。
蒂尔尼先生说,将这个密钥与Tapplock播放的命令结合使用可以让攻击者成功打开他们找到的任何一个。
龙的巢穴
作为回应,Tapplock在声明中说它正在发布一个软件更新。
“一旦您的应用程序可供您所在地区使用,请务必更新您的应用程序。我们强烈建议您升级锁定固件以获得最新保护。
“此补丁解决了一些可能允许未经授权的用户非法获取访问权限的蓝牙/通信漏洞.Tapplock将继续监控最新的安全趋势,并不时提供更新。”
它感谢PTP提醒它注意这个问题。
加拿大Tapplock公司在Dragons'Den Canada上展出后,在众筹网站Indiegogo筹集了超过330,000美元(247,000英镑)。
这笔资金帮助开发了Tapplock One,该产品已广泛应用于小工具网站并赢得了国际设计奖。
Tapplock One的拥有者,根据其创建者的说法,不再需要记住组合代码或钥匙来解锁挂锁,而是可以用手指轻扫。
此外,锁可以通过智能手机进行管理,因此可以远程打开,让其他值得信赖的人得到它所保护的任何东西。
蒂尔尼先生在看到YouTuber JerryRig的一切失败后,开始对测试Tapplock的主张感兴趣。
YouTuber发现可以轻松移除挂锁的背面,让攻击者解锁设备。然而,这种弱点可以追溯到制造业的错误,随后的测试显示其他锁具不受此类攻击的影响。
蒂尔尼先生没有调查锁的物理设计,而是研究了它管理谁可以使用它的软件。
他对所发现的事情感到“震惊”,蒂尔尼先生联系了Tapplock,他说他们知道这个缺陷。
在他工作的公司公开调查结果之前,公司有时间纠正这个问题。
他敦促智能锁定公司警告客户这个问题。