ٹیپلاک کارپوریشن ، ہائ کنسپشن
پینٹسٹ پارٹنرز کے انفوسیک ماہرین نے گذشتہ ہفتے ایک ٹیسٹ پیش کیا جہاں وہ ٹیپل لاک کی سمارٹ پیڈلاک ٹکنالوجی کو صرف چند سیکنڈ میں انلاک کرنے میں کامیاب ہوگئے۔ یہ محققین ڈیجیٹل توثیق کے طریقہ کار میں پائے جانے والے خطرات سے فائدہ اٹھانے کے قابل تھے ، جس کے بارے میں انھیں لگتا ہے کہ سنگین مسائل ہیں۔ پینٹسٹ کے تکنیکی ماہرین نے ریمارکس دیئے کہ انہیں یقین ہے کہ ایک ایسا فرد جو سمارٹ لاک کے لئے تفویض کردہ بلوٹوتھ لو لو میک میک ایڈریس معلوم کرسکتا ہے تب کوڈ کو انلاک کرسکتا ہے۔
اگرچہ یہ زیادہ تر افراد کے لئے آسان کام نہیں ہوگا ، لیکن ڈیوائس اس ایڈریس کو براڈکاسٹ کرتی ہے لہذا وائرلیس ٹکنالوجی سے ہنر مند لوگ کسی براڈکاسٹ کو روکنے کے ساتھ ہی اس لاک کو کالعدم کرسکتے ہیں۔ اس طرح کے نشریات کو روکنے کے لئے درکار ٹولوں میں ایسی مہارت رکھنے والوں کے لئے بھی تلاش کرنا بہت مشکل نہیں ہوگا۔
تھیسالونیکی کے آئی او ٹی محقق وانجلیس اسٹیکاس نے اب ایک رپورٹ جاری کی ہے کہ ٹیپلاک کے کلاؤڈ بیسڈ انتظامیہ کے ٹولز بھی کسی خطرے سے دوچار ہیں۔ اس رپورٹ میں کہا گیا ہے کہ جو لوگ کسی اکاؤنٹ میں لاگ ان کرتے ہیں انہیں فعال طور پر دوسرے اکاؤنٹس کو کنٹرول کرنے کی طاقت دی جاتی ہے اگر وہ دوسرے صارفین کے شناختی نام جانتے ہیں۔
ٹیپ لاک فی الحال ہوم بیس پر ڈیٹا منتقل کرنے کے لئے کوئی محفوظ HTTPS کنیکشن استعمال نہیں کرتا ہے۔ مزید برآں ، اکاؤنٹ کی شناختیں ایک بڑھتے ہوئے فارمولے پر مبنی ہوتی ہیں جو انھیں اصل شناختوں سے گھر کے پتے کے قریب کرتی ہے۔
اسٹیکس نے محسوس کیا کہ وہ اپنے آپ کو کسی بھی تالے کا مجاز صارف کے طور پر شامل کرنے سے قاصر ہے جس کا اس سے تعلق نہیں ہے ، اس کا مطلب یہ ہے کہ خطرے کی حدود ہوتی ہیں یہاں تک کہ تالے کے پیچھے کمپنی کو پیچ جاری کرتے ہوئے بھی۔
تاہم ، انہوں نے یہ کہا کہ وہ کسی اکاؤنٹ سے ذاتی معلومات کے کچھ ٹکڑے پڑھ سکتے ہیں۔ اس میں آخری جگہ شامل ہے جہاں تالا کھلا تھا۔ نظریہ میں ، حملہ آور یہ جان سکتا ہے کہ کسی علاقے تک جسمانی رسائی حاصل کرنے کا بہترین وقت کیا تھا۔ ایسا بھی لگتا ہے کہ وہ سرکاری ایپ کے ذریعہ ایک اور لاک کھولنے کے قابل تھا۔
اگرچہ ابھی تک پیچوں کے بارے میں ابھی تک کوئی اعلان نہیں ہوا ہے ، لیکن یہ یقین کرنا مشکل نہیں ہے کہ کمپنی جلد ہی کچھ تبدیلیاں جاری کرے گی کیونکہ وہ اس بات پر غور کر رہے ہیں کہ وہ دیگر خطرات کو دور کرنے کے لئے سخت محنت کر رہے ہیں۔ بہر حال ، محققین نے یہ بھی پایا کہ اس سے قطع نظر کہ اطلاق پر ڈیجیٹل سیکیورٹی کے افعال کس طرح قابل بنائے گئے تھے وہ اب بھی پرانے زمانے کے بولٹ کٹرز کے ایک جوڑے کے ساتھ تالے کے ذریعے کاٹ سکتے ہیں۔
ٹیگز infosec
