Lockly 電子門鎖嚴重安全漏洞

最近屋企裝修，打算裝電子鎖，因為見到都多人推 Lockly，所以就安裝咗 Lockly PGD898 門鎖。

但之後就意外發現個門鎖有嚴重安全漏洞！

呢款門鎖竟然可以通過 Telnet 無需密碼直接登入，登入之後可以見到一個叫做 Jiasong HD DoorBell 嘅裝置，而且一登入就已經係 Root 權限。
個門鎖 Root 可以免密碼登入，意思即係任何人都可以輕易地控制個門鎖，甚至睇番或者刪除過去嘅錄影記錄。如果想成個 OS Dump 落黎都無問題。

由於一登入就已經係 Root 權限，所以可以對系統進行各種惡意操作。寫個程式擺係個門鎖到執行，擺個木馬都完全無問題。

系統密匙之類都係明文儲存，可以隨便睇，只要花多少少時間研究下，另外整個小程式，之後只需一部手機就可以做到遠程開門，手機 App 可以做到嘅野都可以同樣做到，唔洗登入，唔洗密碼。

因為真係無諗到一間提供安全 Service 嘅公司會出現咁低級嘅安全性問題…所以我就再睇睇個門鎖上網嘅流量，見到連接嘅 Cloud Service 都係行 HTTP，資料係明文發出去… 無做任何加密。

Chromium 瀏覽器係 2023 年就已經預設全部用 HTTPS，再睇番個門鎖 Firmware，更新日期係 2022 …

我係較早前已經聯繫咗 Lockly，佢地都大方承認咗有呢個問題，我多次詢問可唔可以通過遠程更新黎解決呢個問題，佢哋都無回應。

係近日我收到 Lockly 通知指已經提供咗 Firmware 更新，並表示只有小部份客戶有呢個問題，而且已經個別通知同已經遠程更新咗。

但我仍然想提醒所有用電子門鎖嘅人，務必檢查同睇睇個門鎖有冇野可以更新。

咁PGD829好似安全啲喎
要配Secure Link 先有WIFI

咩國家牌子？

相信一樣會有相同問題，如果有用緊，最好檢查一下。

網頁最低寫美國路牌…但啲產品應該係一間叫嘉松科技嘅大陸公司搞。

推

樓主個門鎖好高級? 我部冇得連 wifi
好似要另外俾錢加舊野先上到網 彩佢都on9咁危險

有冇其他牌子既測試？？

Wi-Fi 唔係必要，只要有密匙就可以經藍牙用到所有功能。

屋企窮，得一個電子鎖…

靠marketing造起既大陸野

連登鎖喎

連登鎖應該係貼牌Philips，甚至Aqara全屋都Apple HomeKit

Lockly舊式門制未必受

從來都係外型先決

唔知你講乜撚 你唔鎖好門就安全漏洞 完

弱智先用philips同aqara

想安電子鎖，有乜介紹

Samsung咪一樣係大陸公司搞

簡單嚟講
千祈唔好有IoT功能嘅門鎖
正正常常電子鎖係冇事
樓豬呢隻嘢本質上係一部小型電腦嚟

香港公司

要方便就係咁架啦，電動車都係，鎖你喺入邊燒死你。
我都係用機械鎖安心啲。

咁正常人用咩牌子？

咁巴打有咩好介紹

你問上面條弱智佢答唔到架

佢淨係批評無建議
鳩噏就無敵
本身想用lockly
依加睇下轉邊隻好

用大路野就Yale喇