В смарт-замках Tapplock обнаружена новая уязвимость
Для исправления первой уязвимости был создан специальный API, однако с его помощью злоумышленники также могут открыть замок.
Уже во второй раз за неделю производитель «умных» замков Tapplock оказался в центре внимания из-за проблем с безопасностью своей продукции. По словам исследователя Вангелиса Стыкаса (Vangelis Stykas), любой желающий может получить все необходимые данные для того, чтобы определить местонахождение замка и беспрепятственно его открыть. Достаточно лишь зайти на сервер приложений, пояснил исследователь. Стыкас показал, как получить последний известный физический адрес замка, а также достаточное количество данных для создания кода безопасности, который можно использовать для определения местоположения и разблокировки любого смарт-замка.
Исследование Стыкаса основывается на исследовании экспертов компании PenTest Partners, опубликованном на прошлой неделе. По данным PenTest Partners, замок можно легко открыть в обход биометрической аутентификации, поскольку код безопасности генерируется с уникального неизменяемого сетевого адреса (MAC-адреса), который есть у каждого Bluetooth-устройства.
Согласно опубликованному в пятницу, 15 июня, заявлению компании Tapplock, для исправления уязвимости был создан специальный API, необходимый приложению для разблокировки замка по Bluetooth. Тем не менее, по словам Стыкаса, злоумышленники могут использовать API для определения физического адреса и разблокировки замка.
Для работы с API требуется зарегистрированный электронный адрес, который может создать кто угодно. С помощью нескольких команд терминала злоумышленник может получить реальный и сетевой адрес замка, а затем использовать описанную PenTest Partners технику для его разблокировки по MAC-адресу.
По словам Стыкаса, при каждой регистрации отпечатка пальца на сервер загружается новая запись с уникальным, автоматически увеличивающимся номером пользователя. Злоумышленник может с легкостью подобрать эти номера и получить данные пользователей. Из-за отсутствия в API ограничений по количеству получаемых данных злоумышленник может получить с сервера сколько угодно данных.