Не покупайте умные замки.

Не покупайте умные замки.

Kevin Mitnick

Для читателей, обеспокоенных своей неприкосновенностью частной жизни или просто не желающих вводить дополнительные хлопоты в рутину технического обслуживания, мы вводим первый очерк в нашей серии рекомендаций под названием «Пожалуйста, не покупайте это».

Не покупайте умные замки.

Пожалуйста, не покупайте умные замки.

Мы все любим покупать новейшую и самую лучшую игрушку. Приятно получать современные и новые функции продукта, которые были скучными и предсказуемыми; завлекаловка оригинального BeBox (среди многих) была «мигающие маячки»(мигалки) с внешней стороны. Но иногда, последняя особенность не всегда является самой хорошей особенностью. А иногда, некоторые вещи не должны появляется в интернете вообще.

Крутая новая вещь.

Недавно Amazon анонсировала новую услугу, объединяющую смарт замки, камеру безопасности- подключенная к сети, и сеть поставщиков домашних услуг, которые работают совместно, чтобы обеспечить удаленный доступ к вашему дому. Не обращая внимания на вопрос о предоставлении сторонним подрядчикам, проверенным неопубликованными стандартными неконтролируемыми доступами, давайте взглянем на то, почему смарт замки не является самой хорошей покупкой.


Как показано здесь:

https://www.amazon.com/gp/product/B00KCYQGXE/ref=s9_acss_bw_cg_ODSBRLS_md2_w?pf_rd_m=ATVPDKIKX0DER&pf_rd_s=merchandised-search-2&pf_rd_r=KK66F86CM9PA0EFJZNTG&pf_rd_t=101&pf_rd_p=74cce967-6b08-4a4b-be85-c1a16f003f96&pf_rd_i=17285120011

программа Amazon фактически работает с тремя различными существующими продуктами для смарт-замков

«Смарт замок» - это довольно сложный термин, охватывающий широкий спектр технологических новшеств, и от чего же зависит устройство замка Amazon, какие уязвимости безопасности включают эти технологии? Это малая загадка, так как на странице продажи Amazon не включена эта информация, также нет страницы «технических особенностей» одного из производителей.

Мы можем предположить, что для этих замков потребуются сменные батареи, и по крайней мере один из замков предоставит пользователю Wi-Fi доступ. Когда мы разрешили дистанционную разблокировку в вашем доме без какой-либо личной проверки подлинности явно - это плохая идея и, ряд других смарт замков пытались осуществить более безопасный подход с использованием низкой энергии Bluetooth, что дает некоторые дополнительные функции безопасности, которых нет в исходном протоколе.

К сожалению, в то время как, сам протокол имеет в целом хороший профиль безопасности, выполнение и связанные сопутствующие приложения, выпущенные производителями замков, не так хороши. В тестах, проведенных Defcon в прошлом году, 12 из 16 моделей смарт-замков провалили тест при устойчивой атаке. Большинство из этих провалов касались либо реализации шифрования, либо низкопробного кода в сопутствующих приложениях.

Почему это менее круто, чем казалось.

Исходя из плохой конструкции и реализации защиты «Смарт» устройства, подобные этим, как правило, имеют нечеткие правовые границы, связанные с владением и обслуживанием. В прошлом году во время приобретения была закрыта компания по автоматизации домов, под названием Revolv. И вместо того, чтобы просто не предоставлять обновления, устройства были отключены.

Это привело пользователей к неудобствам, но что, если это была бы ваша парадная дверь? Учитывая текущее состояние фрагментации мобильной ОС, было бы большим сюрпризом, если бы компания замка просто отказалась предоставлять обновления безопасности? Мы не смогли найти никакой информации о средствах обновления совместимых с новым Amazon замком, о том, как доверенный персонал по доставке, будет взаимодействовать с замками. И если какая-либо третья сторона имеет доступ к данным, передачи замка и / или к сопутствующих приложениям телефона.

Это вопросы, которые касаются любого устройства. Но когда это устройство предоставляет доступ к вашему дому, значительно большая часть должна быть обязательно прозрачна в отношении базовой технологии устройства .


Заключение

У физического ригеля также есть недостатки в безопасности. Но ригеля имеют стандартизованный дизайн, общепринятые стандарты, по которым они оцениваются, и могут быть отремонтированы или заменены кем-либо и недвусмысленно принадлежат только вам. Может ли EULA смарт-замки сказать то же самое? Умные замки могут обеспечить достаточный уровень уверенности в покупке, если они отвечают следующим критериям:

• Независимые отраслевые стандарты безопасности при проектировании

• Независимый аудит кода

• Без доступа к Wi-Fi сетям

• Обычная реализация стандартного шифрования

• Oтсутствие сторонних хранилищ данных;

• Bозможность на ремонт