TappLock Corp., HiConsumption
Os especialistas da Infosec da PenTest Partners realizaram um teste na semana passada, onde foram capazes de desbloquear a tecnologia de cadeado inteligente da TappLock em apenas alguns segundos. Esses pesquisadores foram capazes de explorar vulnerabilidades no método de autenticação digital, que consideraram ter problemas sérios. Os técnicos da PenTest comentaram que acreditavam que um indivíduo que pudesse descobrir o endereço MAC do Bluetooth Low Energy atribuído ao smart lock poderia então desbloquear o código.
Embora isso não seja uma tarefa simples para a maioria dos indivíduos, o dispositivo transmite esse endereço para que os especialistas em tecnologia sem fio possam desfazer o bloqueio assim que interceptarem uma transmissão. As ferramentas necessárias para interceptar tal transmissão não seriam muito difíceis de encontrar para aqueles com tais habilidades.
Vangelis Stykas, um pesquisador de IoT de Thessaloniki, acaba de lançar um relatório que as ferramentas de administração baseadas em nuvem do TappLock também são influenciadas por uma vulnerabilidade. O relatório afirma que aqueles que se conectam a uma conta têm autoridade funcional para controlar outras contas se souberem os nomes de identificação de outros usuários.
TappLock não parece usar atualmente uma conexão HTTPS segura para transmitir dados de volta para a casa. Além disso, os IDs de conta são baseados em uma fórmula incremental que os torna mais próximos dos endereços residenciais do que os IDs reais.
Stykas descobriu que não era capaz de se adicionar como usuário autorizado de qualquer bloqueio que não pertencia a ele, o que significa que a vulnerabilidade tem limitações, mesmo sem a empresa por trás do bloqueio liberar um patch.
Ele, no entanto, afirmou que poderia ler alguns bits de informações pessoais de uma conta. Isso inclui o último local de onde a fechadura foi aberta. Em teoria, um invasor poderia descobrir qual era o melhor momento para obter acesso físico a uma área. Também parece que ele conseguiu abrir outra fechadura com o aplicativo oficial.
Embora ainda não tenha havido nenhum anúncio sobre patches, não é difícil acreditar que a empresa lançaria algumas mudanças em breve, considerando que está trabalhando muito para corrigir outras vulnerabilidades. No entanto, os pesquisadores também descobriram que, independentemente das funções de segurança digital habilitadas no aplicativo, eles ainda eram capazes de cortar a fechadura com um par de alicates antiquados.
Tag infosec
![[FIX] Erro ‘autenticação adicional necessária’ no Xbox One](https://jf-balio.pt/img/how-tos/14/additional-authentication-needed-error-xbox-one.png)
