Nokelock Smart Padlock無法保護用戶的屬性和密碼
任何對技術有興趣的人都會告訴你,世界各地的大型和小型製造商正在競相將盡可能多的日常物品連接到互聯網上。所謂的物聯網(IoT)熱潮確實佔據了這個星球,而且結果往往有些奇怪。
我們已經知道並使用多年的物體現在被給予芯片並且比它們需要的更複雜。閱讀和審閱最新物聯網小工具的人通常會留下他們正在尋找不存在問題的解決方案的印象。但必須指出的是,一些想法具有更大的潛力。
智能掛鎖 - 更方便,更安全的替代方案?
傳統的掛鎖有什麼問題?好吧,根據我們所討論的鎖的類型,你需要使用鍵或數字組合來打開它,這是一個不太理想的情況,原因很簡單 - 鍵可能丟失和重複,並且代碼可能被遺忘或猜到。換句話說,密鑰和密碼都不是絕對可靠的。
一家名為Nokelock的中國公司背後的人認為,技術的進步可以為我們提供解決方案。像許多其他人一樣,他們開發了各種鎖,可以通過手機應用程序打開,也可以使用嵌入鎖上的指紋掃描儀打開。從理論上講,這似乎是一個好主意。
即使您丟失了手機以及解鎖掛鎖的應用程序,試圖竊取您的財產的人也將首先需要闖入您的設備, 而正確的設置應該是一個非常困難的任務。本身。與此同時,你不能忘記或丟失你的指紋,這意味著你不可能被鎖定在你想要保護的任何東西之外。
這是Nokelock及其競爭對手積極使用的理論,以說服我們購買他們的產品。不幸的是,這只是理論。
智能掛鎖製造商不太注重安全性
去年,一個名為JerryRigEverything的YouTuber拿了一個名為Tapplock的智能掛鎖,只用一個GoPro支架和一把螺絲刀將它打開 。之後,Pen Test Partners的滲透測試專家也成功突破了其虛擬安全性,並在收集藍牙MAC地址後解鎖了設備。總而言之,Tapplock掛鎖帶來了不少設計缺陷,其製造商也受到了相當多的批評。
你認為經營Nokelock的人從Tapplock的錯誤中吸取了教訓。可悲的是,事實並非如此。
Pen Test Partners的專家再一次自己去了解Nokelock是否有任何好處,再一次,他們的發現可能讓很多人失望。事實上,完全妥協Nokelock的安全性變得非常容易. Pen Test Partners的David Lodge 檢查了他的Nokelock的工作方式,他意識到由於藍牙協議的實施存在漏洞,他可以竊取重要的加密密鑰並進行各種破壞。例如,只要他在藍牙範圍內(大約10米或33英尺),他就可以解鎖任何Nokelock掛鎖,他甚至不需要知道它屬於誰。
經過更多的探索之後,他了解到他可以取消註冊一個Nokelock,有效地鎖定了所有者,並且每當它同步到手機時他就可以抓住GPS坐標鎖定記錄。最後但同樣重要的是,洛奇發現他可以相對輕鬆地獲得所有者的登錄憑證,並且他意識到Nokelock將密碼存儲為未加鹽的MD5哈希值 。
MD5是一種古老的散列函數,可以使用當今的硬件輕鬆破解。這是一種存儲密碼的不安全方式,而仍在使用密碼的人應盡快停止使用密碼 。然而,那些經營Nokelock的人並不感興趣。
Nokelock不想插入安全漏洞
去年,銷售Tapplock的人們度過了他們的美好時光,但他們最終表示他們將發布補丁,並將解決Pen Test Partners專家提出的問題。當他發現Nokelock中存在巨大的安全漏洞時,David Lodge試圖與製造商取得聯繫,並希望這一次,問題將更好地優先考慮。它不是。
Pen Test Partners花了近六個月的時間試圖通過多種渠道進入Nokelock。所有嘗試都失敗了,最終,專家們認為他們最好的行動方案是公開發布他們的調查結果。
智能鎖不能滿足每個人的高期望這一事實不應該太令人驚訝。每種新產品都會出現問題。然而,這並不意味著諾克洛克應該忽視安全問題,使其客戶的財物(和數據)易受攻擊。