“呀,钥匙又找不到了。”尽管市面上智能安全设备众多,可你是否仍对这个场景感同身受?加拿大科技公司Pishion Lab为此开发了一款世界上第一个指纹智能挂锁(官宣文案)Tapplock。新事物总需要在不断经受考验后,发现问题进行改正,年轻的Tapplock也正在经历这个过程。近日,Tapplock在发现严重的安全问题后发布了安全补丁,以试图稳固“牢不可破”的重要卖点。这些安全问题是哪些?严重在哪里呢?
Youtuber jerryrigeeverything发布了一段视频,演示了如何用螺丝刀将锁拆开,从锁的背面弹开,然后打开锁链。(视频地址:https://www.youtube.com/watch?time_continue=257&v=RxM55DNS9CE)这对于Tapplock来说不是小事,于是有安全研究人员对此进行研究。
解锁设备只需BLE MAC地址
安全研究员Andrew Tierney对设备安全性进行评估测试时,花了不到45分钟就解开了智能挂锁。更令人震惊的是,Tierney表示,尽管Tapplock因没有锁孔阻断了部分物理访问,但可以用一部手机在2秒内破解设备。而发现这个问题所需的时间甚至不到一个小时。
其实Tierney已经计算出蓝牙低功耗(BLE)MAC地址,一种公开的网络设备标识,所以他在2秒内解锁设备所需的只是BLE MAC地址。
此外,黑客还有诸多可利用的漏洞。Tapplock的应用程序通过HTTP进行通信,这意味着它没有传输加密,这在Tierney看来是一个“2018不可原谅的缺陷”。虽然Tapplock使用与军方相同的AES 128位加密技术,但他们忽略了配对、密钥交换、密钥共享……最重要的是,它没有涉及身份验证。锁本身也没有“出厂重置”设置,如此一来,即便用户可以从帐户中删除信息,但用于解锁的数据始终不变。
永久共享,“官方”解锁
安全研究员Vangelis Stykas顺着Tierney方向,挖掘出了Tapplock 潜在安全问题。Stykas发现,一旦进入一个Tapplock账户,只要知道对应ID,他就可以通过身份验证进入其他人的账户。这使得Stykas可以访问敏感PII(即个人身份信息,这里包括用户通过蓝牙解锁锁时的地址和电子邮件),也可以共享任何帐户控制的锁,并访问所有相关信息。Stykas说:“我可以编写一个攻击脚本,将任何锁永久地与我的账户(或任何账户)共享,然后提取所有锁的最后解锁位置,再通过官方应用程序解锁它们。”
固然Tapplock已经发布补丁并敦促客户及时升级以弥补上述问题,但公众反应仍未平息,是因为此类问题发生在安全为第一诉求的产品身上,从而使得公众情绪被进一步放大,还是由于人们被这种问题烦扰已久?Tapplock事件折射了物联网设备需要面对的主要问题——个人设备应该如何保护。与此同时,问题还指向媒体和制造商对物联网设备所持的态度,这些东西看似抽象,却无疑会对产品开发产生重要影响。