TappLock Corp., HiConsumption
Els experts d’Infosec de PenTest Partners van realitzar una prova la setmana passada on van poder desbloquejar la tecnologia de cadenat intel·ligent de TappLock en pocs segons. Aquests investigadors van ser capaços d’explotar les vulnerabilitats del mètode d’autenticació digital, que consideraven que tenien problemes greus. Els tècnics de PenTest van remarcar que creien que una persona que pogués esbrinar l'adreça MAC de baixa energia Bluetooth assignada al bloqueig intel·ligent podria desbloquejar el codi.
Tot i que aquesta no seria una tasca senzilla per a la majoria de persones, el dispositiu emet aquesta adreça de manera que els experts en tecnologia sense fils puguin desfer el bloqueig tan aviat com interceptin una transmissió. Les eines necessàries per interceptar una transmissió d’aquest tipus tampoc serien molt difícils de trobar per a aquells amb aquestes habilitats.
Vangelis Stykas, investigador de l’IoT de Salònica, ha publicat ara un informe que les eines d’administració basades en el núvol de TappLock també estan influïdes per una vulnerabilitat. L'informe indica que els que inicien sessió en un compte tenen el poder funcional de controlar altres comptes si coneixen els noms d'identificació d'altres usuaris.
Sembla que TappLock no utilitza actualment una connexió HTTPS segura per transmetre dades a la base. A més, els identificadors de compte es basen en una fórmula incremental que els fa més propers a les adreces de casa que als identificadors reals.
Stykas va trobar que no era capaç d’afegir-se com a usuari autoritzat de cap pany que no li pertanyés, cosa que significa que la vulnerabilitat té limitacions fins i tot sense que l’empresa que hi ha darrere del pany alliberi un pedaç.
Tanmateix, va afirmar que podia llegir alguns trossos d'informació personal d'un compte. Inclou la darrera ubicació on es va obrir el pany. En teoria, un atacant podia esbrinar quin era el millor moment per accedir físicament a una zona. També sembla que va poder obrir un altre pany amb l'aplicació oficial.
Tot i que encara no hi ha hagut anuncis sobre pedaços, no és difícil creure que l’empresa publiqui alguns canvis prou aviat tenint en compte que han estat treballant molt per corregir altres vulnerabilitats. No obstant això, els investigadors també van trobar que, independentment de quines funcions de seguretat digital estiguessin habilitades a l'aplicació, encara eren capaces de tallar el pany amb un parell de talladores de cargols a l'antiga.
Etiquetes infosec
![[FIX] OneNote no funciona a l'iPad](https://jf-balio.pt/img/how-tos/32/onenote-keeps-crashing-ipad.jpg)
