TappLock Corp., HiConsumption
Stručnjaci Infoseca iz tvrtke PenTest Partners prošli su tjedan napravili test na kojem su uspjeli otključati pametnu tehnologiju lokota TappLock u samo nekoliko sekundi. Ti su istraživači uspjeli iskoristiti ranjivosti u metodi digitalne provjere autentičnosti, za koju su smatrali da ima ozbiljnih problema. Tehničari iz tvrtke PenTest primijetili su da vjeruju da bi pojedinac koji može saznati Bluetooth niskoenergetsku MAC adresu dodijeljenu pametnoj bravi mogao otključati kôd.
Iako to za većinu pojedinaca ne bi bio jednostavan zadatak, uređaj emitira ovu adresu pa bi oni koji su vješti s bežičnom tehnologijom mogli otključati bravu čim presretnu emitiranje. Alate potrebne za presretanje takvog emitiranja ne bi bilo teško pronaći ni za one koji imaju takve vještine.
Vangelis Stykas, IoT-ov istraživač iz Soluna, objavio je izvještaj da su TappLock-ovi administrativni alati temeljeni na oblaku također pod utjecajem ranjivosti. Izvještaj navodi da su oni koji se prijave na račun funkcionalno ovlašteni kontrolirati druge račune ako znaju ID imena drugih korisnika.
Čini se da TappLock trenutno ne koristi sigurnu HTTPS vezu za prijenos podataka natrag u matičnu bazu. Štoviše, ID-ovi računa temelje se na inkrementalnoj formuli koja ih čini bližim kućnim adresama od stvarnih ID-ova.
Stykas je otkrio da se nije mogao dodati kao ovlašteni korisnik bilo koje brave koja mu nije pripadala, što znači da ranjivost ima ograničenja čak i ako tvrtka iza brave ne izda zakrpu.
Međutim, izjavio je da je mogao pročitati neke dijelove osobnih podataka s računa. To uključuje posljednje mjesto otvaranja brave. U teoriji, napadač je mogao shvatiti koje je najbolje vrijeme za fizički pristup nekom području. Također se čini da je službenom aplikacijom uspio otvoriti još jednu bravu.
Iako još nije bilo najava o zakrpama, nije teško povjerovati da će tvrtka objaviti neke promjene dovoljno brzo s obzirom na to da su naporno radile na ispravljanju drugih ranjivosti. Unatoč tome, istraživači su također otkrili da su bez obzira na to koje su digitalne sigurnosne funkcije omogućene u aplikaciji i dalje uspjeli probiti bravu s nekoliko staromodnih rezača vijaka.
Oznake infosec
![[FIX] CDpusersvc nije uspio pročitati opis (Kôd pogreške 15100)](https://jf-balio.pt/img/how-tos/01/cdpusersvc-failed-read-description.png)
