Tapplock-uppgörelse: Smarta enheter behöver smart säkerhet

Om ditt företag tillverkar “smarta” enheter, vill du läsa om Tapplocks uppgörelse med FTC. Det är ytterligare ett exempel på varför företag inom Internet of Things (IoT) måste tänka på integritet och säkerhet när de designar uppkopplade produkter.

Tapplock, Inc. är ett IoT-företag som säljer internetanslutna fingeravtrycksaktiverade hänglås, så kallade smarta lås. De smarta låsen interagerar med en app som låter användare låsa och låsa upp sina smarta lås när de är inom Bluetooth-räckvidd. Tapplock annonserade sina smarta lås som att de hade en “okrossbar design” och att de var “Fet”. Kraftig. Säkra.” Tapplock sa också att det tog “rimliga försiktighetsåtgärder” och följde “branschens bästa praxis” för att skydda personlig information.

Enligt FTC:s klagomål var dock Tapplocks smarta lås inte säkra. Faktum är att en forskare kunde öppna en inom några sekunder helt enkelt genom att skruva loss bakpanelen. Forskare upptäckte också flera säkerhetsbrister som Tapplock kunde ha undvikit med enkla, lågkostnadssteg. Till exempel:

  • En sårbarhet i Tapplocks API gjorde det möjligt för forskare att kringgå kontoautentisering och få full tillgång till alla Tapplock-användares konton. Det inkluderar användarnamn, e-postadresser, profilfoton, platshistorik och exakt geolokalisering av det smarta låset.
  • En annan sårbarhet låter forskare låsa och låsa upp alla närliggande Tapplock smarta lås. Varför? Tapplock krypterade inte dataflödet mellan låset och appen. Så forskare kunde enkelt identifiera och generera nycklar som behövs för att låsa upp.
  • En tredje sårbarhet hindrade användare från att effektivt återkalla åtkomst till sitt smarta lås när de väl hade gett andra användare åtkomst.

FTC:s tvåtalsklagomål hävdar att Tapplock ägnade sig åt vilseledande handlingar eller praxis i strid med Section 5 of the FTC Act genom att felaktigt representera: (1) att dess smarta lås var säkra och (2) att det vidtog rimliga försiktighetsåtgärder och följde branschens bästa praxis för att skydda konsumenternas personliga information.

FTC:s förlikning förbjuder Tapplock från att göra vilseledande uttalanden om säkerhet för en enhet eller sekretess för personlig information. Det kräver också att Tapplock implementerar ett omfattande säkerhetsprogram, inklusive utbildning av anställda. Slutligen måste företaget få utvärderingar från tredje part vartannat år och årligen intyga efterlevnad.

Om ditt IoT-företag vill undvika liknande misstag, här är några saker att tänka på:

  • Implementera “säkerhet genom design.” Bygg in säkerhet i dina produkter redan från början. Utför sårbarhets- och penetrationstester innan du släpper en produkt.
  • Uppmuntra en trygghetskultur. Skapa skriftliga säkerhetsstandarder och utse en ledande befattningshavare som är ansvarig för produktsäkerhet. Träna personalen att känna igen sårbarheter och belöna dem om de säger ifrån.
  • Designa din produkt med autentisering i åtanke. Autentisering är ett måste i Internet of Things. Med anslutna enheter kommer ett autentiseringsfel att ge åtkomst inte bara till enheten utan även till nätverk som den är ansluten till.
  • Dra nytta av det som experter redan har lärt sig om säkerhet. Till exempel finns standardkrypteringstekniker tillgängliga för data som enheter överför och lagrar. Använd transitkryptering varje gång din app överför användarnamn, lösenord, API-nycklar eller annan viktig data.
  • Skydda gränssnitten mellan din produkt och andra enheter eller tjänster. En säkerhetsbrist vid den punkt där en tjänst kommunicerar med din enhet kan ge bedragare ett fotfäste i ditt nätverk. Det är därför vart och ett av dessa gränssnitt måste säkras.

För mer vägledning, kolla in Careful Connections: Building Security in the Internet of Things och App Developers: Start with Security.

Leave a Comment

Your email address will not be published.