Botnet z inteligentnych kłódek? ;) Badacz zlokalizował dziurawe API

Co dopiero pisaliśmy o kłódce Tapplock, skonstruowanej prawdopodobnie według zasady 'security by marketing’ ;) – a tymczasem pojawiły się nowe rewelacje w tym samym produkcie.

Po pierwsze można było otrzymać dostęp do danych osobowych właściciela dowolnej kłódki – wystarczył id użytkownika (id są zwiększane o jeden :)

API

Po drugie – był dostęp do danych, które mogą otworzyć kłódkę (wskazane w oryginalnym badaniu) plus dokładna fizyczna lokalizacja ostatniego otwarcia kłódki. Można też było (bez wiedzy i zgody właściciela) wymusić dla każdego użytkownika w systemie „podzielenie się” kłódką.

Podejrzewamy, że to nie ostatni krok całej akcji – jak stwierdził autor aktualnego hacka na API – Vangelis Stykas – wygląda na to, że CTF trwa ;)

–ms