Tapplock

Tapplock werd grondig bekeken door security-onderzoeker Vangelis Stykas. Hij ontdekte dat iedereen gevoelige informatie kan bemachtigen om een slot te vinden en te openen, dankzij een lekke API-server van het bedrijf. Hij achterhaalde het postadres en genoeg gegevens om een ontgrendelcode te genereren om de slimme sloten te openen.

Het bedrijf trok de API in die wordt gebruikt door de app om het slot draadloos via Bluetooth te openen. "We hebben een patch uitgebracht die verschillende kwetsbaarheden aanpakt en Tapplocks authenticatie- en beveiligingsprotocollen bijwerkt", aldus het bedrijf. "We blijven de beveiligingstrends monitoren en geven geregeld updates uit."

Maar het slot bevat ook fouten die niet zijn aan te pakken met een update. Los van de twijfelachtige bouwkwaliteit met aluminium van lage kwaliteit, ontdekte een YouTuber dat je er schroeven op de achterkant van het slot zitten waardoor je het slot uit elkaar kunt halen. Een inbreker heeft dus geen Bluetooth-tool nodig, maar heeft genoeg aan een simpele schroevendraaier.

LockState

Deze sloten haalden het nieuws nadat honderden sloten werden gebrickt. Na een OTA-update werd de verbinding naar de servers automatisch verbroken en dat kon niet worden hersteld, waardoor de slimme sloten niet meer te benaderen waren. Een fix was hierdoor ook niet mogelijk. De sloten konden nog wel met de hand worden geopend.

De update was namelijk bedoeld voor een andere serie dan de 6000i waar hij naar werd gepusht en dat leverde de fatale fout op. Klanten konden het slot terugbrengen voor reparatie of een nieuwe aanvragen. Het ging in totaal om 500 klanten, waarvan 200 airbnb-hosts. Die gebruikten LockState om sleutelfunctionaliteit of afstand te geven aan gasten, zodat ze niet steeds fysiek een sleutel hoefden te overhandigen.

Amazon Key

Amazon kondigde een systeem aan met een slim slot en camera waardoor pakketjesbezorgers zichzelf kunnen binnenlaten om een pakje in de gang te zetten. Dat is dan vervolgens te zien op de camera, zodat klanten kunnen zien wat er is gebeurd. Maar beveiligingsonderzoeker Ben Caudill van Rhino Security Labs vond vorig jaar een kwetsbaarheid.

Een bezorger kon binnenlopen, het pakje neerzetten en weer vertrekken. Maar in plaats van de deur weer te sluiten, kunnen ze commando's aan de camera geven via een laptop om het beeld te bevriezen. Dan kan een kwaadwillende bezorger het pand opnieuw betreden, om de camera weer in te schakelen als ze gedaan hebben wat ze wilden doen.

Amazon geeft nu een waarschuwing als het camerabeeld een tijdje bevriest als oplossing en hebben een patch uitgerold die deze kwetsbaarheid aanpakt.

Ook interessant: The Washington Post testte het slot een paar maanden uit en heeft nog enkele praktische vragen.

August

De softwareontwikkelaar en white-hat hacker Jmaxxz ontdekte een kwetsbaarheid in slimme sloten van Augits die te maken hebben met gasttoegang. Via een August-slot kunnen eigenaars eenmalige, terugkerende of blijvende toegang verlenen via een digitale sleutel. Jmaxxz kon door een softwarefout in deze gasttoegang een nieuwe sleutel genereren.

Met die sleutel kan een aanvaller nog steeds binnenkomen nadat de eigenaar hem of haar heeft verwijderd als gast. Gelukkig zijn er geen praktijkgevallen bekend van inbrekers die deze fout hebben ontdekt en volgens Jmaxxz reageerde het bedrijf snel, correct en zijn in ieder geval een deel van de kwetsbaarheden opgelost.

Alleen: "Ik denk niet dat de huidige fixes toereikend zijn", zegt hij. "Maar August heeft een aantal belangrijke patches uitgebracht."