O Cadeado Inteligente Nokelock Falha na Proteção dos Pertences e Senhas dos Usuários

Nokelock Smart Padlocks Can Leak Passwords

Qualquer pessoa que tenha interesse ativo em tecnologia dirá que grandes e pequenos fabricantes em todo o mundo estão em uma corrida para conectar o maior número possível de objetos do cotidiano à Internet. A chamada mania da Internet das Coisas (IoT) tomou conta do planeta e, com frequência, os resultados são um tanto estranhos.

Objetos que conhecemos e usamos há anos agora recebem chips e são mais complicados do que precisam. As pessoas que leem e revisam os mais recentes gadgets de IoT ficam frequentemente com a impressão de que estão procurando uma solução para um problema que não existe. Deve-se dizer, no entanto, que algumas idéias têm muito mais potencial.

Cadeados Inteligentes - Uma Alternativa Mais Conveniente e Mais Segura?

O que há de errado com o cadeado tradicional? Bem, dependendo do tipo de bloqueio que estamos falando, é necessário usar uma combinação de teclas ou numérica para abri-lo, o que é uma situação abaixo do ideal por um motivo muito simples: as chaves podem ser perdidas e duplicadas, e códigos podem ser esquecidos ou adivinhados. Em outras palavras, nem chaves nem códigos são infalíveis.

As pessoas por trás de uma empresa sediada na China chamada Nokelock acham que o avanço da tecnologia pode nos dar uma solução. Eles, como muitos outros, desenvolveram vários bloqueios que podem ser abertos com um aplicativo de celular ou usando o scanner de impressão digital incorporado ao próprio bloqueio. Em teoria, isso parece uma ótima idéia.

Mesmo que você perca seu telefone celular junto com o aplicativo que desbloqueia seu cadeado, as pessoas que estão tentando roubar seus pertences precisarão primeiro invadir o seu dispositivo que, com a configuração correta, deve ser uma tarefa muito difícil para e em si. Ao mesmo tempo, você não pode esquecer ou perder sua impressão digital, o que significa que é improvável que você se prenda ao que quer que esteja tentando proteger.

Essa é a teoria que o Nokelock e seus concorrentes estão usando ativamente para nos convencer a comprar seus produtos. Infelizmente, é apenas a teoria.

Fabricantes de Cadeados Inteligentes não Prestam Muita Atenção à Segurança

No ano passado, um YouTuber usando o apelido JerryRigEverything pegou um cadeado inteligente chamado Tapplock e o abriu usando nada mais do que uma montagem GoPro e uma chave de fenda. Mais tarde, especialistas em teste de penetração da Pen Test Partners também conseguiram romper sua segurança virtual e desbloquearam o dispositivo após coletar seu endereço MAC Bluetooth. Em suma, o cadeado Tapplock veio com algumas falhas de design, e seus fabricantes receberam sua parte justa de críticas.

Você pensaria que as pessoas que dirigem o Nokelock aprenderam com os erros do Tapplock. Infelizmente, este não é o caso.

Mais uma vez, os especialistas da Pen Test Partners decidiram descobrir se o Nokelock é bom e, mais uma vez, suas descobertas podem decepcionar algumas pessoas. De fato, comprometer completamente a segurança de Nokelock acabou sendo terrivelmente fácil. David Lodge, da Pen Test Partners, examinou o funcionamento de seu Nokelock e percebeu que, devido a uma vulnerabilidade na implementação do protocolo Bluetooth, ele poderia roubar uma chave de criptografia importante e causar todos os tipos de danos. Desde que ele esteja dentro do alcance do Bluetooth (cerca de 10 metros ou 33 pés), por exemplo, ele pode desbloquear qualquer cadeado Nokelock e nem precisa saber a quem pertence.

Depois de mais algumas investigações, ele aprendeu que pode cancelar o registro de um Nokelock, bloqueando efetivamente o proprietário e que ele pode raspar o GPS e coordenar os registros de bloqueio sempre que sincronizado com um telefone celular. Por último, mas não menos importante, Lodge descobriu que pode obter as credenciais de login do proprietário com relativa facilidade e percebeu que o Nokelock está armazenando senhas como hashes MD5 sem sal .

O MD5 é uma função antiga de hash que pode ser quebrada com facilidade usando o hardware atual. É uma maneira extremamente insegura de armazenar senhas, e as pessoas que ainda a usam devem parar de fazê-lo o mais rápido possível. Aqueles que dirigem Nokelock, no entanto, não estão interessados.

O Nokelock não Quer Corrigir a Falha de Segurança

No ano passado, as pessoas que vendiam o Tapplock se divertiram muito, mas acabaram dizendo que lançariam patches e resolverão o problema apresentado pelos especialistas da Pen Test Partners. Quando ele descobriu as vulnerabilidades de segurança existentes no Nokelock, David Lodge tentou entrar em contato com o fabricante e esperava que, dessa vez, o problema fosse mais bem priorizado. Não era para ser.

Os Pen Test Partners passaram quase seis meses tentando acessar o Nokelock por vários canais diferentes. Todas as tentativas falharam e, finalmente, os especialistas decidiram que seu melhor curso de ação é divulgar publicamente suas descobertas.

O fato de que os bloqueios inteligentes não atendem às altas expectativas de todos não deve ser muito surpreendente. Problemas de dentição são esperados em cada novo produto. Isso, no entanto, não significa que o Nokelock deva ignorar os problemas de segurança, deixando vulneráveis os pertences (e dados) de seus clientes.

February 26, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.