Video: Ny Rapport Navngir Flere Sikkerhetsproblemer I TappLock-appen
2023 Forfatter: Kayla Nelson | [email protected]. Sist endret: 2023-07-30 23:17
Infosec-eksperter fra PenTest Partners preformet test forrige uke hvor de var i stand til å låse opp TappLocks smarte hengelåsteknologi på bare noen få sekunder. Disse forskerne var i stand til å utnytte sårbarheter i den digitale autentiseringsmetoden, som de følte hadde alvorlige problemer. Teknikere fra PenTest bemerket at de trodde at en person som kunne finne ut Bluetooth Low Energy MAC-adressen som ble tildelt smartlåsen, deretter kunne låse opp koden.
Selv om dette ikke ville være en enkel oppgave for de fleste, sender enheten denne adressen, slik at dyktige med trådløs teknologi kan være i stand til å angre låsen så snart de snappet opp sendingen. Verktøyene som trengs for å avskjære en slik kringkasting, ville heller ikke være veldig vanskelig å finne for de med slike ferdigheter.
Vangelis Stykas, en IoT-forsker fra Thessaloniki, har nå gitt ut rapporten om at TappLocks skybaserte administrasjonsverktøy også er påvirket av sårbarhet. Rapporten slår fast at de som logger inn på en konto har funksjonell myndighet til å kontrollere andre kontoer hvis de kjenner ID-navnene til andre brukere.
Det ser ikke ut til at TappLock for øyeblikket bruker sikker HTTPS-tilkobling for å overføre datback til hjemmebasen. Videre er konto-ID-er basert på en trinnvis formel som gjør dem nærmere hjemmeadressene enn faktiske ID-er.
Stykas fant ut at han ikke klarte å legge til seg selv som en autorisert bruker av noen lås som ikke tilhørte ham, noe som betyr at sårbarheten har begrensninger selv uten at selskapet bak låsen slipper lappen.
Han uttalte imidlertid at han kunne lese noen personopplysninger fra en konto. Dette inkluderer den siste plasseringen der låsen ble åpnet. I teorien kunne en angriper finne ut hva som var den beste tiden å få fysisk tilgang til et område. Det ser også ut til at han klarte å åpne en ny lås med den offisielle appen.
Selv om det foreløpig ikke har vært kunngjøringer om oppdateringer, er det ikke vanskelig å tro at selskapet snart vil gi ut noen endringer med tanke på at de har jobbet hardt for å rette opp andre sårbarheter. Ikke desto mindre fant forskere også at uansett hvilke digitale sikkerhetsfunksjoner som var aktivert på appen, klarte de fremdeles å kutte gjennom låsen med par gammeldagse boltskutter.
Anbefalt:
Oppdatert IOS 11.4.1 Begrenser USB-by-pass DoS-mulighet Og Flere Sikkerhetsproblemer
Apple har gitt ut en oppdatering for iPhone 5s og nyere, iPad Air og nyere, og iPod touch sjette generasjon iOS 11.4.1 som lanseres på mandag, som inkluderer en
Thunderbird Patches EFAIL Og Flere Andre Sikkerhetsproblemer I 52.9.1
Den nyeste utgivelsen av Mozillas e-postklient med navnet Thunderbird inkluderer forskjellige mindre sikkerhetsoppdateringer, samt en fullstendig løsning av EFAIL
Uautentisert Forbikoblingsfeil Og Flere Andre Sikkerhetsproblemer Oppdatert I Policy Suite V18.2.0
Nettverks- og sikkerhetsmaskinvareprodusenten, Cisco, er rammet med sitt femte store bakdørsårbarhet for Cisco Policy Suite de siste fem
Flere SAML-sikkerhetsproblemer Oppdaget I Oracle WebLogic Server Av Sikkerhetsforskere Ved Pulse Security
To sårbarheter merket CVE-2018-2998 og CVE-2018-2933 er blitt oppdaget av Denis Andzakovic fra PulseSecurity, som utnytter Oracle WebLogic
BlueStacks Inneholdt Flere "alvorlige" Sikkerhetsproblemer: Populær Android-emulator For Mobil Og PC Tillatt Ekstern Kjøring Av Kode?
BlueStacks, en av de mest populære og mest brukte Android- og PC-emulatorene, hadde flere alvorlige sikkerhetsproblemer. Disse feilene tillatt
