ビデオ革新的な新製品で市場に参入するのは決して容易なことではありませんが、「世界初のスマート指紋南京錠」のメーカーは、ドライバーの存在を忘れていたという重大なミスを犯しました。
Tapplockは2016年、指だけで「壊れない」錠前を開けられる製品で32万ドルを調達しました。素晴らしいですね。しかし、9月の出荷予定日を過ぎると状況は悪化し、支援者からは、この新興企業がアップデートを一切行わなくなり、メールやソーシャルメディアの投稿にも返信しなくなったと不満の声が上がりました。
しかし、数カ月の沈黙の後、このスタートアップ企業はエル・レグ社に対し、すべてが順調に進んでおり、遅延は「中国での製造上の問題」によるものだと保証した。
それから18ヶ月が経ち、ついに、ついに100ドルのTapplockが市場に登場しました。そして、なんと言えばいいでしょうか?少々欠陥のある製品です。
おそらく人々はこのロックを貴重品を保管するために使用することを意図しているため、このロックには少なくとも 3 つの大きな問題があり、それらの問題によりこのロックは役に立たないものとなっている。
まず注目すべき点の一つは、Tapplock が亜鉛アルミニウム合金 Zamak 3 を使用していることです。この合金は、Tapplock に「壊れない耐久性」をもたらすと謳われています。しかし残念ながら、材料技術者が指摘するように、アルミニウムは軽量で魅力的な金属であり、ダイキャスト時にこの合金はうらやましいほどの精巧さを実現しますが、壊れないことが求められる製品には必ずしも最適な選択肢とは言えません。
強度はそれほど高くなく、高温で溶け、かなり脆いです。見た目はかっこいいですが、より一般的な用途、つまりドアハンドルに適しています。この錠前はボルトカッターで簡単に切断できます。
さぁ行こう
ちなみに、これは 3 つの欠点の 1 つではありません。
最初の大きな欠陥は、Bluetoothを使ってロックとロック解除を行う方法にありました。サイバーギボンズことアンドリュー・ティアニー氏がPen Test Partnersのためにこのロックをレビューしたところ、1時間もかからずにすべてのTapplockを開ける方法を見つけることができました。
「スマート」Bluetoothロックを使用すると、強盗に遭う可能性が高まる
続きを読む
どうしてそんなことが可能なのでしょうか?実は、ロックは自身の Bluetooth MAC アドレスを電波でブロードキャストし、その MAC アドレスを使ってデバイスのロックとロック解除に使用するキーを計算しているのです。
ティアニー氏は驚くほど素早くシステムを解読した。「BLEのMACアドレスを大文字に変換し、MD5ハッシュを取得します。0から7までの文字がキー1、16から23がシリアル番号です。」その結果、彼はスクリプトを書いてAndroidアプリに移植し、スマートフォンとBluetoothを使って近くのTapplockをワイヤレスで開くことに成功した。所要時間は2秒未満だった。
「このレベルのセキュリティは全く受け入れられない」と彼は訴えた。「消費者はもっと良い対応を受けるに値する。顧客をこのように扱うのは甚だしい失礼だ。正直言って、言葉も出ない」
問題は深刻だったため、ティアニー氏はメーカーに連絡し、根本的な欠陥を公表するまで7日間の猶予を与えました。期限切れのわずか数時間前、タップロック社はセキュリティ勧告を発表し、「最新の保護機能を得るには」すべてのユーザーがロックのファームウェアをアップグレードする必要があると警告しました。
同社は「このパッチは、不正なユーザーによる不正アクセスを許す可能性のあるBluetooth/通信関連の脆弱性をいくつか修正しています」と述べている。しかしティアニー氏は、ファームウェアが更新されていないロックであれば文字通り誰でも開けられるという点については触れていないと指摘する。
責任追及
欠陥2に進みます。
セキュリティ研究者のヴァンゲリス・スティカス氏は金曜日にブログ記事を公開し、Tapplock APIエンドポイントには有効なトークンがあるかどうかをチェックする以外に文字通りセキュリティチェックが全くないことを説明した。
したがって、Tapplock アカウントを作成してログインすると、再び、すべての Tapplock を開くことができるようになります。
ティアニー氏は記事の中で、錠前のセキュリティがひどいと確信させるあらゆる種類の危険信号を見たと述べており、スティカス氏も同じことを述べているが、危険信号は異なる。
彼は別の角度から、つまりロックのアプリからアプローチしました。そしてすぐに、そのアプリがHTTPSすら使っていないことに懸念を抱きました。そして調べてみると、別のアカウントから他のユーザーのアカウントを操作するのは簡単であることがすぐに分かりました。
ロック自体にアクセスできることに加え、セキュリティ上の欠陥により実際のアカウント情報にもアクセスできるようになりました。
驚くべきことに、スティカスは最初の欠陥発見者であるアンドリュー・ティアニー氏(サイバーギボンズ)に連絡を取り、アカウントに使用していたメールアドレスを教えてほしいと頼みました。ティアニー氏は同意し、数分のうちにスティカス氏はティアニー氏のスマートロックに自分の情報を追加できただけでなく、氏名と住所も確認することができました。
ニューヨーク州司法長官、安全性の懸念をめぐりBluetoothロックメーカーと和解
続きを読む
そうです、Tapplock は文字通り、他人のロックにアクセスするだけでなく、物理的にどこにあるかを知るために必要なすべての情報を配布しています。
スティカス氏は感銘を受けなかったと言っても過言ではない。「この件については、事後分析は全くしていません」と彼は述べた。「この錠にはいくつか欠陥があり、私の理解では、彼らには素晴らしいマーケティングチームはあったものの、セキュリティチームは存在しなかったようです。私には権限がないので、何かを買うべきか買わないべきかを言うことはできませんが、私ならこの錠は買いません」
Tapplock は、Stykas が悪用した API を無効にし、それを介して他人の情報を入手しようとするさらなる試みを阻止しました。
これらは2つの致命的なソフトウェアエラーです。実際の物理的なロック自体はどうでしょうか?
見た目は良いが粗悪なアルミ合金で作られていることに加え、まともなロックメーカーなら泥棒が隙間から隙間を空けるのを防ぐためにロックアーム自体に追加する物理的な段差がないことに加え、このロックにはもうひとつとんでもない欠陥がある。それは、背面のネジを外すことができる可能性があることだ。
