Bluetooth-slot Tapplock One bevat ernstig beveiligingslek

Het smart bluetooth-slot Tapplock One bevat een ernstig beveiligingslek. Hierdoor is het mogelijk om het slot te openen en van alle gebruikers de naam en adresgegevens te weten te komen. Tapplock One is zowel met vingerafdrukken als een smartphone-app te bedienen.

Onlangs hadden onderzoekers ontdekt hoe ze het slot binnen enkele seconden konden openen via een smartphone. Voor dit beveiligingslek is inmiddels een update uitgebracht. Beveiligingsonderzoeker Vangelis Stykas heeft echter een andere beveiligingstekortkoming ontdekt.

API

Via de programmeerinterface (API) van de app waarmee het slot is te bedienen, kon Stykas toegang krijgen tot de data van alle gebruikers. De geldige token die hiervoor is vereist, was gemakkelijk te bemachtigen door een account aan te maken.

Overtreding van AVG

De onderzoeker slaagde er ook in om continu toegang tot alle sloten te verkrijgen. De eigenaren konden hem op geen enkele manier verwijderen. Dat betekent ook dat Stykas alle Tapplock One-sloten open zou kunnen krijgen, mits hij zich in de buurt ervan zou bevinden. Door de onveilige API voldeed Tapplock niet aan de nieuwe Europese privacywetgeving AVG. Het bedrijf heeft de programmeerinterface afgelopen weekend dan ook uit de lucht gehaald.

Aanmelden voor onze nieuwsbrief