来自加拿大的智慧锁制造商Tapplock,因宣称自家的智慧锁不论是在实体或数字上都非常安全,而且牢不可破,却相继被多名安全研究人员发现其同名智能锁很容易就被破解,由于Tapplock也在美国市场销售,使得美国联邦交易委员会(FTC)对此展开调查,本周宣布已与Tapplock完成和解,Tapplock承诺将改善设备的安全性。
Tapplock是一家2016年才成立的加拿大创业公司,主要开发支持指纹识别的联网智能锁,也有搭配的移动程序,以存储用户名、电子邮件地址、个人文件照片与智能锁的精确位置,并宣称最多可存放500组指纹。
Tapplock品牌的智慧锁除了标榜可随身携带之外,也号称既坚固又安全,且“坚不可摧”(unbreakable),然而,FTC的调查却显示,该公司的产品充斥着不少安全漏洞,包括硬件与软件。
例如有研究人员发现,Tapplock的API允许黑客绕过其账号认证机制,而得以入侵用户的账号,取得用户的个人资料。此外,Tapplock还未加密介于智能锁与手机之间的蓝牙通信,让黑客能够轻易地锁住或解锁智能锁。第三个漏洞则是当Tapplock用户授权其他用户使用智能锁之后,无法撤回授权。更扯的是,其实根本不必使用上述手法来破解Tapplock智能锁,研究人员只要花几秒钟来松开背后的面板,就能打开某些智能锁。
FTC认为,Tapplock智能锁并未采取必要的安全检测,也不如该公司所宣称的那么安全,等于是欺骗了消费者。
在遭到FTC质疑之后,双方在本周完成和解。Tapplock虽未接受FTC的指控,但承诺将会实施全面的安全项目,并同意接受两年一次的第三方安全评估。