Mellékleteink: HUP | Gamekapocs
Keres
Mi a fejlesztő gondja 2018-ban? Refaktorálás, Agile, API-tervezés, PWA és Alexa a gyakorlatban. HWSW mobile! idén is. November 21-22.

Ezer sebből vérzik az indiegogós okoslakat

Hlács Ferenc, 2018. június 18. 18:24

A Tapplock nem csak egyszerűen feltörhető volt, még el is navigálta magához a tolvajt.

Bár lassan egy átlagos háztartás minden használati tárgyából találni "okos" verziót a piacon, vannak eszközök, amelyeknél az extra funkciók nem csak a kényelmet, de a támadási felületek számát is növelik. Ilyenek többek között az okoszárak is, amelyek terén még egyáltalán nem mondható egyöntetűnek a felhasználói bizalom - és ezen a nemrég piacra került Tapplock ujjlenyomat-olvasóval szerelt okoslakatnak sem sikerült javítania, sőt.

A Indiegogón közösségi finanszírozásból mintegy 320 ezer dollárt összekalapoló Tapplock már a termék életének hajnalán nehézségekbe ütközött, ahogy azt a fejlesztőcsapat a The Registernek elmondta, a kínai gyártópartnereknél felmerült problémák miatt. Hogy pontosan hol akadt el a folyamat, a készítők nem részletezték, ugyanakkor a fiaskó mintegy másfél évvel tolta el a rajtot. Idén tavasszal mindenesetre már rátehették a kezüket - ujjukat - a vásárlók az első Tapplock lakatokra, az öröm azonban nem tarthatott sokáig, ugyanis mint kiderült, az eszköz a kulcsnélküli használat kényelméért szinte teljesen feláldozza a biztonságot.

Az első probléma már a lakat megpiszkálása előtt nyilvánvalóvá válik, méghozzá az anyaghasználat. A Tapplock ugyanis cink-alumínium ötvözetből készült, amely a lap szakértői szerint nem a legjobb választás lakatokhoz, jellemzően inkább kilincseket készítenek belőle - egy erővágó könnyedén elbánik vele.

tapplck

Sajnos probléma szoftveroldalon is akad, a Tapplock ugyanis Bluetooth-on keresztül is kinyitható, nem csak a tulajdonos telefonjával: Andrew Tierney biztonsági szakértőnek a lakattal való szűk órás ismerkedést követően sikerült azt "illetéktelenül" nyílásra bírni. Az eszköz ugyanis amellett, hogy Bluetooth-on keresztül kommunikálja saját MAC címét, a nyitáshoz-záráshoz szükséges kódot is ebből a címből állítja elő, ami így egyszerűen visszafejthető. Tierney még egy androidos appot is összerakott, amellyel minden, a telefon Bluetooth hatókörében lévő Tapplock felnyitható. Ezt a hibát a lakat fejlesztői még a Tierney által adott határidő előtt javították, illetve figyelmeztették felhasználóikat is, hogy frissítsék eszközeiket a legújabb firmware-re.

Nem kellett azonban sokat várni a következő nagy szoftveres biztonsági résre, Vangelis Stykas a Tapplock felhasználói fiókokat és az appot vette górcső alá, utóbbiról pedig gyorsan kiderült, hogy még HTTPS-t sem használ. Röviddel ezután Stkyas már képes volt saját profiljából más fiókokat is manipulálni, információkat szerezni azok birtokosáról, illetve azokhoz saját magát is hozzáadni kezelőként, így pedig lakatjaikat is szabadon nyitni-zárni. A legelképesztőbb hiba azonban talán az volt, hogy az így "eltérített" profilok esetében a szakértő a lakatok elmentett földrajzi pozícióit is meg tudta szerezni, egy potenciális tolvajnak tehát az app nem csak kvázi az összes lakat kulcsát adja a kezébe, de még el is navigál az eszközökhöz. Miután a biztonsági szakértő jelezte a hibákat, a cég az azokért felelős API-t gyorsan lekapcsolta, sajnos azonban a Tapplock így sem lett biztonságos.

 

A harmadik gyengeség már hardveroldalon keresendő, de legalább olyan megdöbbentő mint az előző kettő. A lakat hátoldala ugyanis menetes, egyszerűen bele van csavarva az eszköz keretébe. A hátlapra egy öntapadós nyelet rögzítve az könnyedén elfordítható, és hozzáférhető a lakat belseje, amely aztán egy mezei csavarhúzóval megbontható, az eszköz pedig kinyitható. A teljes folyamat nagyjából 30 másodpercet vesz igénybe - ahogy azt a JerryRigEverything YouTube csatorna demonstrálja is. A Tapplock erre a videóra sem késett reagálni, a cég szerint a bemutatóban szétszedett lakat hibás volt, azért vált meg ilyen könnyen hátoldalától, illetve ígéretet tett, hogy a hagyományos csillagcsavarokat egyedi csavarokra cseréli.

Ezt a biztonsági katasztrófát a vállalat nettó 100 dollárért árulja, és bár igyekszik gyorsan foltozgatni a sorozatosan felbukkanó fizikai vagy szoftveres sebezhetőséget, erőfeszítései és a lakat képességei nehezen igazolnak bármilyen árcédulát a terméken. Még akkor sem, ha a vállalat egy a biztonsági aggályokat taglaló levélre küldött válaszában hangsúlyozza, "a lakat feltörhetetlen, azok számára, akiknél nincs csavarhúzó".

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Refaktorálás, Agile, API-tervezés, PWA és Alexa a gyakorlatban. HWSW mobile! idén is. November 21-22.