上周有来自不安全的互联网事物的一些有趣的新闻,当然,主要的事件当然是对Tapplock智能锁的研究(
新闻 ,
原始报告 )。 Pen Test Partners的研究人员安德鲁·蒂尔尼(Andrew Tierney)不仅绕过了电子锁的保护,而且发现设备的“数字”部分完全没有任何安全系统。
Tapplock城堡于2016年首次展示为概念,同时该设备的创造者在
Indiegogo上发起了一场运动,计划筹集40,000美元,以使完成的原型浮现在脑海,并发布第一批设备。 “世界上第一个带有指纹扫描仪的智能锁”承诺了令人难以置信的便捷性,因为它没有口袋里的沉重钥匙链,与智能手机的连接以及与朋友共享访问的能力,通过蓝牙的可控性和远程解锁。 但是:令人难以置信的安全性,包括军事级AES-128加密。 并且此锁需要收费。
当然,我们知道通过指定加密标准来证明可靠性是没有意义的,但是我们不要马上讨论计算机部分,但是这里我们有一种确保物理安全性的方法。 这次失败的故事实际上是从YouTube上受欢迎的JerryRigEverything频道上的视频开始的,它根本不是关于互联网和安全性,而是关于即将到来的设备的分析。 该视频的作者演示了如何使用螺丝刀绕过军队批准的加密。
在这里,安德鲁·蒂尔尼(Andrew Tierney)对这部影片产生了兴趣,买了一把锁(在
官方网站上为84美元),并且对于初学者来说,发现YouTube的螺丝起子星似乎错了。 尽管使用了GoPro固定器上的牢固胶合杆以及盖子内侧的其他简易工具,但安德鲁并未成功拆卸该锁,原因是使用了先前的饼干。 显然有一个有缺陷的样本,Tapplock的声誉得到了完全恢复。 ??
不行 可惜,这么多好笑话被浪费了。 好的,城堡的开发者最初关于最高安全级别的声明通常令人怀疑:这是一个普通的小锁,尽管带有电池。 无需破解AES,中型断线钳即可完成此操作。 研究人员安德鲁·蒂尔尼(Andrew Tierney)决定研究数字部分,并首先发现该锁无需使用加密就可以通过HTTP通过蓝牙通过蓝牙与智能手机通信(尽管最初为蓝牙部分发布了相同的AES-128!)。 流量分析使我们能够识别将设备标识为受信任的线路,并且在所有情况下均保持不变。 实际上,使用相同的“与朋友共享”功能,您可以给他固定的“密码”,事实证明,该密码无法被调出。 此外,进一步清楚的是,即使锁与所有者电话完全脱钩(例如转售)也不会更改授权码。
怎么了 等等。 生成此代码的方式最终打破了保护的幻想。 事实证明,您只需要内置蓝牙低功耗模块的MAC地址即可。 模块向所有人公开广播的相同MAC地址。 结果,可以在几秒钟内远程轻松地破解附近的任何Tapplock(在蓝牙范围内)。 研究人员在同一地点通知制造商,他们的回答是:“谢谢,
但是我们已经知道了 。” 鉴于这甚至不是一个漏洞,并且规避保护的方法浮出水面,安德鲁设定了一个不寻常的截止日期,即在七天之内披露信息,然后发表了一项研究。 塔普洛克(Tapplock)含糊地承诺要
更新 。 后来,人们承诺对软件进行彻底的检查,并且似乎甚至有理论上的机会来纠正这种情况-这与硬件无关。 可以修复声誉吗? 现在让我们来看一下Tapplock设备,尽管媒体对该问题的报道非常广泛。
顺便说一句,关于由于漏洞而破产。 去年,我们撰写了有关Cloudpets品牌生产
的互联网连接玩具的
漏洞的文章。 在那个故事中,零保护已经是物联网世界所熟悉的,甚至在非常私人的数据泄漏以及井井有条的管理评论中都以“这很正常,每个人都这样做”的风格。
因此,此后玩具制造商已经关闭,但是已经售出的设备的安全问题并未消失。 而且,研究人员在其中发现了两个新漏洞(玩具),玩具继续敲响该领域以进行同步,该领域正在出售,将来可能会被拦截。 如果您想到数以百万计的已售出的物联网设备,其保护性难以理解或缺乏保护,那就真的很难过。 唯一的“乐观理由”是,到目前为止,攻击的不是锁,也不是带有Wi-Fi的熊,而是路由器,那里的一切也很糟糕,但还不算太糟。 所以我们活着。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。