Nokelock Smart Padlock无法保护用户的属性和密码

任何对技术有兴趣的人都会告诉你，世界各地的大型和小型制造商正在竞相将尽可能多的日常物品连接到互联网上。所谓的物联网（IoT）热潮确实占据了这个星球，而且结果往往有些奇怪。

我们已经知道并使用多年的物体现在被给予芯片并且比它们需要的更复杂。阅读和审阅最新物联网小工具的人通常会留下他们正在寻找不存在问题的解决方案的印象。但必须指出的是，一些想法具有更大的潜力。

智能挂锁 - 更方便，更安全的替代方案？

传统的挂锁有什么问题？好吧，根据我们所讨论的锁的类型，你需要使用键或数字组合来打开它，这是一个不太理想的情况，原因很简单 - 键可能丢失和重复，并且代码可能被遗忘或猜到。换句话说，密钥和密码都不是绝对可靠的。

一家名为Nokelock的中国公司背后的人认为，技术的进步可以为我们提供解决方案。像许多其他人一样，他们开发了各种锁，可以通过手机应用程序打开，也可以使用嵌入锁上的指纹扫描仪打开。从理论上讲，这似乎是一个好主意。

即使您丢失了手机以及解锁挂锁的应用程序，试图窃取您的财产的人也将首先需要闯入您的设备， 而正确的设置应该是一个非常困难的任务。本身。与此同时，你不能忘记或丢失你的指纹，这意味着你不可能被锁定在你想要保护的任何东西之外。

这是Nokelock及其竞争对手积极使用的理论，以说服我们购买他们的产品。不幸的是，这只是理论。

智能挂锁制造商不太注重安全性

去年，一个名为JerryRigEverything的YouTuber拿了一个名为Tapplock的智能挂锁，只用一个GoPro支架和一把螺丝刀将它打开 。之后，Pen Test Partners的渗透测试专家也成功突破了其虚拟安全性，并在收集蓝牙MAC地址后解锁了设备。总而言之，Tapplock挂锁带来了不少设计缺陷，其制造商也受到了相当多的批评。

你认为经营Nokelock的人从Tapplock的错误中吸取了教训。可悲的是，事实并非如此。

Pen Test Partners的专家再一次自己去了解Nokelock是否有任何好处，再一次，他们的发现可能让很多人失望。事实上，完全妥协Nokelock的安全性变得非常容易. Pen Test Partners的David Lodge 检查了他的Nokelock的工作方式，他意识到由于蓝牙协议的实施存在漏洞，他可以窃取重要的加密密钥并进行各种破坏。例如，只要他在蓝牙范围内（大约10米或33英尺），他就可以解锁任何Nokelock挂锁，他甚至不需要知道它属于谁。

经过更多的探索之后，他了解到他可以取消注册一个Nokelock，有效地锁定了所有者，并且每当它同步到手机时他就可以抓住GPS坐标锁定记录。最后但同样重要的是，洛奇发现他可以相对轻松地获得所有者的登录凭证，并且他意识到Nokelock将密码存储为未加盐的MD5哈希值 。

MD5是一种古老的散列函数，可以使用当今的硬件轻松破解。这是一种存储密码的不安全方式，而仍在使用密码的人应尽快停止使用密码 。然而，那些经营Nokelock的人并不感兴趣。

Nokelock不想插入安全漏洞

去年，销售Tapplock的人们度过了他们的美好时光，但他们最终表示他们将发布补丁，并将解决Pen Test Partners专家提出的问题。当他发现Nokelock中存在巨大的安全漏洞时，David Lodge试图与制造商取得联系，并希望这一次，问题将更好地优先考虑。它不是。

Pen Test Partners花了近六个月的时间试图通过多种渠道进入Nokelock。所有尝试都失败了，最终，专家们认为他们最好的行动方案是公开发布他们的调查结果。

智能锁不能满足每个人的高期望这一事实不应该太令人惊讶。每种新产品都会出现问题。然而，这并不意味着诺克洛克应该忽视安全问题，使其客户的财物（和数据）易受攻击。