Vyrovnání Taplock: Chytrá zařízení potřebují chytré zabezpečení


Vyrovnání Taplock: Chytrá zařízení potřebují chytré zabezpečení
lschifferle
6. dubna 2020 | 12:15

Vyrovnání Taplock: Chytrá zařízení potřebují chytré zabezpečení

Podle
Lisa Weintraub Schifferle

Pokud vaše firma vyrábí „chytrá“ zařízení, budete si chtít přečíst o vyrovnání společnosti Tapplock s FTC. Je to další příklad toho, proč podniky v prostoru internetu věcí (IoT) musí při navrhování propojených produktů myslet na soukromí a zabezpečení.

Tapplock, Inc. je IoT společnost, která prodává visací zámky s podporou otisků prstů připojené k internetu, nazývané chytré zámky. Chytré zámky spolupracují s aplikací, která uživatelům umožňuje zamykat a odemykat své chytré zámky, když jsou v dosahu Bluetooth. Tapplock inzeroval své chytré zámky jako „nerozbitný design“ a „odvážné“. Solidní. Zajistit.” Tapplock také uvedl, že přijal „přiměřená opatření“ a dodržoval „osvědčené postupy v oboru“ k ochraně osobních údajů.

Podle stížnosti FTC však chytré zámky Tapplock nebyly bezpečné. Ve skutečnosti jeden výzkumník dokázal otevřít během několika sekund pouhým odšroubováním zadního panelu. Výzkumníci také objevili několik bezpečnostních zranitelností, kterým se Tapplock mohl vyhnout jednoduchými a levnými kroky. Například:

  • Chyba v Tapplock API umožnila výzkumníkům obejít ověřování účtu a získat plný přístup ke všem účtům uživatelů Tapplock. To zahrnuje uživatelská jména, e-mailové adresy, profilové fotografie, historii polohy a přesnou geolokaci chytrého zámku.
  • Další zranitelnost umožňuje výzkumníkům zamknout a odemknout jakýkoli blízký chytrý zámek Tapplock. Proč? Tapplock nezašifroval tok dat mezi zámkem a aplikací. Výzkumníci tak mohli snadno identifikovat a vygenerovat klíče potřebné k odemknutí.
  • Třetí chyba zabezpečení bránila uživatelům účinně zrušit přístup ke svému chytrému zámku poté, co poskytli přístup jiným uživatelům.

Dvounásobná stížnost FTC tvrdí, že společnost Tapplock se podílela na podvodných jednáních nebo praktikách v rozporu s oddílem 5 zákona FTC tím, že nepravdivě prohlašovala: (1) že její inteligentní zámky byly bezpečné a (2) že přijal přiměřená opatření a dodržoval nejlepší průmysl postupy na ochranu osobních údajů spotřebitelů.

Urovnání FTC zakazuje společnosti Tapplock činit klamavá prohlášení o zabezpečení zařízení nebo soukromí osobních údajů. Vyžaduje také, aby společnost Tapplock zavedla komplexní bezpečnostní program, včetně školení zaměstnanců. A konečně, společnost musí každé dva roky získat hodnocení od třetích stran a musí každoročně certifikovat shodu.

Pokud se vaše podnikání v oblasti internetu věcí chce podobným chybám vyhnout, je třeba mít na paměti několik věcí:

  • Implementujte „bezpečnost již od návrhu“. Zabudujte zabezpečení do svých produktů hned na začátku. Před vydáním produktu proveďte testování zranitelnosti a penetrace.
  • Podporujte kulturu bezpečnosti. Vytvořte písemné bezpečnostní standardy a jmenujte vedoucího pracovníka, který je odpovědný za bezpečnost produktů. Vyškolte zaměstnance, aby rozpoznali zranitelnost a odměňte je, pokud promluví.
  • Navrhujte svůj produkt s ohledem na ověřování. Autentizace je v internetu věcí nutností. U připojených zařízení selhání ověření umožní přístup nejen k zařízení, ale také k sítím, ke kterým je připojeno.
  • Využijte toho, co se již odborníci o bezpečnosti naučili. Například pro data, která zařízení přenášejí a ukládají, jsou k dispozici standardní techniky šifrování. Kdykoli vaše aplikace přenáší uživatelská jména, hesla, klíče API nebo jiná důležitá data, použijte přenosové šifrování.
  • Chraňte rozhraní mezi vaším produktem a jinými zařízeními nebo službami. Slabé místo zabezpečení v místě, kde služba komunikuje s vaším zařízením, by mohlo dát podvodníkům oporu ve vaší síti. Proto je potřeba každé z těchto rozhraní zabezpečit.

Další pokyny najdete v článku Careful Connections: Building Security in the Internet of Things and App Developers: Start with Security.

Leave a Comment

Your email address will not be published.