智能锁制造商Tapplock已经与美国联邦贸易委员会达成了和解,此前有人抱怨说,它只是用一个“牢不可破”的挂锁误导消费者。 这家加拿大公司为其连接的指纹安全智能锁筹集了数十万美元的众筹资金,但安全研究人员随后发现,无论是物理上的还是数字上的,都太容易打开。
塔普洛克是“大胆的。 结实。 安全“根据其广告,但明显的缺点很快被发现。 例如,外壳上的外露螺丝允许一名研究人员打开后面板,并以这种方式箔锁。 然而,即使没有螺丝刀,也有更危险的电子漏洞是可能的。
联邦贸易委员会列举了三个这样的问题。 一方面,Tapplock API上的帐户身份验证可以被绕过,除了智能锁本身的精确位置之外,还可以公开公司用户的所有用户名、电子邮件地址、配置文件照片和位置历史记录。 这可能会让一个具有邪恶意图的黑客追踪现实生活中的锁。
此外,Tapplock没有加密智能锁与其应用程序之间的蓝牙连接。 这使得研究人员能够窃听数据,并找出如何生成用于打开锁的键。 最后,软件中的一个漏洞阻止了所有者取消对锁的访问,一旦授予了对其他用户的访问。
正如FTC发现的,在锁被释放之前,这些漏洞没有被发现有一些明显的原因:Tapplock没有一个安全程序来实际测试它们。 FTC消费者保护局局长安德鲁·史密斯(Andrew Smith)表示:“我们声称Tapplock承诺其互联网连接的锁是安全的,但事实上,该公司甚至没有检验这一说法是否属实。
与联邦贸易委员会达成的解决方案将导致这种变化。 塔普洛克已经同意建立“一个全面的安全计划,并获得对该计划的独立的两年期评估”;它也需要进行员工安全培训。 该公司还被禁止“就设备安全或个人信息隐私发表欺骗性声明”。
物联网安全已成为研究人员关注的一个长期话题,因为连接的设备通过家庭和企业扩散。 虽然Tapplock的问题可能因其规模而值得注意,但它肯定不是第一家被发现使用底层数据保护或忽视基本问题的公司。 无论是默认管理密码的网络摄像头保持不变,还是容易受到远程控制黑客攻击的智能扬声器,都有许多公司超额承诺但随后交付不足的情况。
联邦贸易委员会(FTC)放弃了让物联网安全成为2015年优先事项的挑战,当时的主席伊迪丝·拉米雷斯(Edith Ramirez)出席了CES会议,警告制造商,对消费者缺乏保护可能会产生严重后果。
免责声明:本文由用户上传,如有侵权请联系删除!