- Mensajes: 1404
- Gracias recibidas: 118
Tapplock: El primer candado que se abre con tu huella digital... y no es seguro.
- forseti99
-
Autor del tema
- Desconectado
- Moderador
-
- Cría cuervos, y tendrás muchos.
7 años 8 meses antes - 7 años 8 meses antes #1
por forseti99
Tapplock: El primer candado que se abre con tu huella digital... y no es seguro. Publicado por forseti99
En noviembre del año pasado al fin salió a la venta "el primer candado inteligente que se desbloquea con tu huella digital". Un gadget que a través de una campaña en indiegogo hace 2 años consiguió recaudar más del 500% de lo que había pedido originalmente. ¿El problema? Es completamente inseguro.
Pero antes de listar los problemas, aquí el videíto promocional que publicaron para su campaña en 2016:
PROMESAS
Tapplock podría solo abrirse con tu huella digital, y con la app de android e iOS podrías acceder a funciones como conceder remotamente su desbloqueo.
Sería resistente al agua, con material duradero y resistente que no podría ser cortado con una simple segueta ni ser abierto a la fuerza.
Incluiría "encriptado de nivel militar AES de 128 bits" y comunicación con smartphones vía Bluetooth.
Y todo por solo $84 dólares (unos $1700 pesos).
Bueno, pues los de Pen Test (servicios de pruebas de seguridad y penetración informática) han sacado hoy un artículo explicando cómo es posible desbloquear cualquiera de los candados en 2 segundos con la app que crearon para ello.
Resulta que sí, el candado está encriptado pero la comunicación candado-smartphone se realiza con simple HTTP. Esto obviamente implica que no hay encriptación de red y con un simple acto de sniffing puedes recibir la información enviada a través de bluetooth al celular.
Lo que es peor, la función "compartir a un amigo" que te permite desbloquear a distancia el candado ocupa una clave única. Esto significa que obteniéndola una vez, aunque elimines al amigo de compartidos, la clave seguirá sirviendo a perpetuidad.
¿La cereza del pastel? Para desbloquear el candado se ocupa la MAC de este. Que, como muchos sabrán, todos los dispositivos comparten públicamente.
Así que los de Pen Test crearon un simple script para obtener la MAC pública del candado y desbloquearlo en dos segundos, método que funciona con TODOS los candados Tapplock (Ya ni es necesario mencionar que su material super resistente resultó ser una aleación ocupada en juguetes de niños que pudo ser destruida fácilmente usando un cortacadenas).
PROBLEMAS
Esto viene a recordarnos cómo métodos como "huella digital", "lector de iris" y la "detección de rostro" son de los más inseguros para el desbloqueo de dispositivos, cuando se ha demostrado que fotografías pueden engañar a las pruebas biométricas y que estas no cumplen con las 3 reglas básicas de desbloqueo de un sistema de seguridad. El sistema debe ser:
1. Fuerte. Como una contraseña secreta que incluya letras, número y símbolos. O bien, un dispositivo físico, como una llave. O mejor aún, ambos.
2. Privado. Tu rostro y ojos son visibles para todos. Y es muy fácil conseguir la huella digital de las personas. Tu contraseña solo la conoces tú.
3. No único. Es decir, puedes generar nuevos cada que sea necesario. Una contraseña puede cambiarse fácilmente, pero por el momento tu rostro, ojos y huellas digitales son de por vida. Una vez que alguien las consigue, no puedes hacer nada para revocar su uso.
Al final únicamente deben ocuparse los sistemas biométricos POR CONVENIENCIA, sabiendo que son falibles e inseguros, y por ende, no viables para proteger información confidencial.
Como nota adicional, existen incluso servicios de impresión 3D de rostros para burlar los sistemas biométricos, por 300 dólares puedes obtener la impresión del rostro de una persona: www.urmesurveillance.com/urme-prosthetic/
Fuentes:
www.pentestpartners.com/security-blog/totally-pwning-the-tapplock-smart-lock/
Imágenes de pen test partners.
Pero antes de listar los problemas, aquí el videíto promocional que publicaron para su campaña en 2016:
PROMESAS
Tapplock podría solo abrirse con tu huella digital, y con la app de android e iOS podrías acceder a funciones como conceder remotamente su desbloqueo.
Sería resistente al agua, con material duradero y resistente que no podría ser cortado con una simple segueta ni ser abierto a la fuerza.
Incluiría "encriptado de nivel militar AES de 128 bits" y comunicación con smartphones vía Bluetooth.
Y todo por solo $84 dólares (unos $1700 pesos).
Bueno, pues los de Pen Test (servicios de pruebas de seguridad y penetración informática) han sacado hoy un artículo explicando cómo es posible desbloquear cualquiera de los candados en 2 segundos con la app que crearon para ello.
Resulta que sí, el candado está encriptado pero la comunicación candado-smartphone se realiza con simple HTTP. Esto obviamente implica que no hay encriptación de red y con un simple acto de sniffing puedes recibir la información enviada a través de bluetooth al celular.
Lo que es peor, la función "compartir a un amigo" que te permite desbloquear a distancia el candado ocupa una clave única. Esto significa que obteniéndola una vez, aunque elimines al amigo de compartidos, la clave seguirá sirviendo a perpetuidad.
¿La cereza del pastel? Para desbloquear el candado se ocupa la MAC de este. Que, como muchos sabrán, todos los dispositivos comparten públicamente.
Así que los de Pen Test crearon un simple script para obtener la MAC pública del candado y desbloquearlo en dos segundos, método que funciona con TODOS los candados Tapplock (Ya ni es necesario mencionar que su material super resistente resultó ser una aleación ocupada en juguetes de niños que pudo ser destruida fácilmente usando un cortacadenas).
PROBLEMAS
Esto viene a recordarnos cómo métodos como "huella digital", "lector de iris" y la "detección de rostro" son de los más inseguros para el desbloqueo de dispositivos, cuando se ha demostrado que fotografías pueden engañar a las pruebas biométricas y que estas no cumplen con las 3 reglas básicas de desbloqueo de un sistema de seguridad. El sistema debe ser:
1. Fuerte. Como una contraseña secreta que incluya letras, número y símbolos. O bien, un dispositivo físico, como una llave. O mejor aún, ambos.
2. Privado. Tu rostro y ojos son visibles para todos. Y es muy fácil conseguir la huella digital de las personas. Tu contraseña solo la conoces tú.
3. No único. Es decir, puedes generar nuevos cada que sea necesario. Una contraseña puede cambiarse fácilmente, pero por el momento tu rostro, ojos y huellas digitales son de por vida. Una vez que alguien las consigue, no puedes hacer nada para revocar su uso.
Al final únicamente deben ocuparse los sistemas biométricos POR CONVENIENCIA, sabiendo que son falibles e inseguros, y por ende, no viables para proteger información confidencial.
Como nota adicional, existen incluso servicios de impresión 3D de rostros para burlar los sistemas biométricos, por 300 dólares puedes obtener la impresión del rostro de una persona: www.urmesurveillance.com/urme-prosthetic/
Fuentes:
www.pentestpartners.com/security-blog/totally-pwning-the-tapplock-smart-lock/
Imágenes de pen test partners.
Última Edición: 7 años 8 meses antes por forseti99.
Por favor, Conectar o Crear cuenta para unirse a la conversación.
- ankoku
-
- Desconectado
- Navegador Platino
-
- LuisR
-
- Desconectado
- Navegador Platino
-
Tiempo de carga de la página: 0.368 segundos