الجميع يبØØ« عن هذه الأغنية الروسيةعناق الموت la câlin Ù…Ø
في أحدث ضربة لأمن إنترنت الأشياء (IoT) ، وجد تحليل أجهزة المنزل الذكي عيوبًا قد تعطي المهاجمين إمكانية الوصول إلى بيانات حساسة أو تسمح لهم بالتحكم في أقفال الأبواب وأجهزة الاستشعار.
تم إجراء البحث من قبل فريق من شركة أمان التطبيق Veracode لستة أجهزة حديثة تم الحصول عليها في ديسمبر ووجدت مشكلات خطيرة في خمسة منها. كانت الأجهزة التي تم اختبارها هي تشامبرلين MyQ Garage ، و Chamberlain MyQ Internet Gateway ، و SmartThings Hub ، و Ubi من Unified Computer Intelligence Corporation ، و Wink Hub و Wink Relay.
كل هذه الأجهزة تمكن التحكم عن بعد ومراقبتها عبر الإنترنت من مختلف أجهزة التشغيل الآلي للمنزل وأجهزة الاستشعار ، بما في ذلك أقفال الأبواب والمفاتيح الداخلية ومنافذ الطاقة. معظمهم يتصلون بالخدمات المستندة إلى السحابة ويمكن للمستخدمين التفاعل معهم عبر بوابات الويب أو تطبيقات الهواتف الذكية.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]لم يبحث فريق Veracode عن نقاط الضعف في البرنامج الثابت للأجهزة التي تم اختبارها ، ولكن بدلاً من ذلك حلل تنفيذ وأمن بروتوكولات الاتصال التي يستخدمونها.
نظر الباحثون في اتصالات الواجهة الأمامية ، تلك بين المستخدمين والخدمات السحابية ، بالإضافة إلى تلك الخلفية بين الأجهزة نفسها والخدمات السحابية.
بالنسبة للوصلات الأمامية ، وجدوا أنه باستثناء Smartthings Hub ، لم تقم أي من الأجهزة بفرض كلمات مرور قوية. بالإضافة إلى ذلك ، لم يقم Ubi بفرض تشفير لاتصالات المستخدم ، وعرّضها لهجمات محتملة في الوسط (MitM).
بالنسبة للوصلات الخلفية ، كان الوضع أسوأ. لم يستخدم Ubi و MyQ Garage التشفير ، ولم يقدمان حماية كافية ضد هجمات الرجل في الوسط ولم يحملا من هجمات إعادة التشغيل ، والتي تمكن مهاجمين في منتصف (MitM) من التقاط حركة المرور ثم تشغيلها مرة أخرى ، مما قد يؤدي إلى اتخاذ إجراءات غير مصرح بها. بالإضافة إلى ذلك ، لم يؤمِّن Ubi البيانات الحساسة بشكل صحيح.
كانت حماية MitM ناقصة عبر جميع الأجهزة باستثناء Smartthings Hub ، إما لأن تشفير TLS (أمان طبقة النقل) لم يُستخدم على الإطلاق أو لأنه تم تنفيذه بدون التحقق من صحة الشهادة.
يشير هذا إلى أن أولئك الذين صمموا أجهزة إنترنت الأشياء هذه افترضوا أن شبكات المنطقة المحلية التي سيتم تثبيتها عليها آمنة. هذا خطأ ، لأن الأبحاث على مدى السنوات القليلة الماضية أظهرت أنه إذا كان هناك أي شيء أسوأ من أمن أجهزة إنترنت الأشياء ، فهو أمن أجهزة توجيه المستهلك. يجد الباحثون الأمنيون نقاط ضعف خطيرة في أجهزة التوجيه على أساس روتيني ، ومعظمها تمكّن الهاكرز من تنفيذ هجمات الرجل في الوسط ، وقد أدت هذه العيوب إلى تعرض ملايين الموجهات للخطر في هجمات واسعة النطاق على مدى السنوات القليلة الماضية.
تنعكس الثقة المضللة لمصنعي إنترنت الأشياء في أمن الشبكات المنزلية أيضًا في واجهات تصحيح الأخطاء والخدمات الأخرى التي تعرضها أجهزتهم لهذه الشبكات.
وجد باحثو Veracode أن Wink Hub يشغل خدمة HTTP لم تتم مصادقتها على المنفذ 80 يستخدم لتكوين إعدادات الشبكة اللاسلكية ، ويدير Wink Relay خدمة ADB (Android Debug Bridge) التي يمكن الوصول إليها عبر الشبكة ، ويدير Ubi كل من ADB و VNC (سطح المكتب البعيد) بدون كلمة مرور ، يقوم SmartThings Hub بتشغيل خادم Telnet المحمي بكلمة مرور ويقوم MyQ Garage بتشغيل خدمة HTTPS تعرض معلومات الاتصال الأساسية.
في حالة Wink Relay و Ubi ، يمكن أن تقدم واجهة ADB المكشوفة للهجوم مع إمكانية الوصول إلى الجذر ويمكن أن تسمح لهم بتنفيذ أوامر وأوامر عشوائية على الأجهزة.
بينما لم يحللوا بشكل مباشر أمان الخدمات السحابية للبائعين ، نظر الباحثون في Veracode في عدة سيناريوهات ، مثل ما سيحدث إذا قام المهاجمون حسابات المستخدم التي تعرضت للاختراق ، والاتصالات التي تم اعتراضها في مكان ما بالقرب من الخدمة ، على سبيل المثال ، من خلال تعريض موفر خدمة upstream أو خرق الخدمة السحابية بالكامل. وخلصوا إلى أن تأثير مثل هذه الخروقات يمكن أن يتراوح من المهاجمين الذين يحصلون على الوصول إلى البيانات الحساسة للسيطرة على جهاز وتنفيذ الأوامر.
إن اعتماد هذه الأجهزة على الخدمات السحابية لا يتم شرحه بشكل واضح للمستخدمين دائمًا ويجب أن يكونوا كذلك ، لأنه لا يدرك الجميع أنه عندما يتحدثون إلى أجهزتهم من خلال تطبيق جوّال ، فإنهم لا يفعلون ذلك بشكل مباشر ويمر المرور فعليًا عبر وقال براندون كريتون ، وهو عضو في فريق أبحاث Veracode.
وهذا يعني أيضا أن الشركات المصنعة يجب أن يكون لديها عمليات أمنية في مكان ليس فقط للأجهزة نفسها ، ولكن أيضا لخدمات الويب الخاصة بهم ، وقال Creighton. "يمكن أن تكون هذه الخدمات ضعيفة مثل أي تطبيق آخر يعمل على خدمة الإنترنت عبر الإنترنت أو خدمة الشبكة ، لذا من المهم اختبارها ومراجعتها أيضًا."
استنادًا إلى نتائج تحليلها ، استنتج فريق Veracode أن فمصممو الأجهزة التي تم اختبارها "لم يركزوا بما فيه الكفاية على الأمن والخصوصية ، كأولوية ، مما يعرض المستهلكين لخطر الهجوم أو التسلل البدني."
على سبيل المثال ، يمكن للمعلومات التي تم جمعها من جهاز Ubi أن تمكن المجرمين من معرفة عندما يكون المستخدم في المنزل أو لا يعتمد على الضوضاء أو الضوء المحيط ، قال الفريق في تقريره. علاوة على ذلك ، باستغلال نقاط الضعف في أجهزة Ubi أو Wink Relay ، يمكن للمهاجمين تشغيل الميكروفونات الخاصة بهم والاستماع إلى المحادثات. "باستخدام نقاط الضعف الموجودة في نظام تشامبرلين ماي كيو ، يمكن إبلاغ اللصوص عندما يتم فتح / إغلاق باب المرآب ، مما يشير إلى نافذة فرصة لسط البيت ، ثم فتح الباب عن بُعد."
توقفت كريتون عن القول كانت المشاكل التي وجدوها في بعض الأجهزة التي تم اختبارها مشكلة عالمية في عالم إنترنت الأشياء ، لكنه لا يعتقد أنها كانت شذوذًا أيضًا.
"أعتقد أن هذه مشكلات شائعة يمكن مشاركتها عبر الكثير من وقال: "الأخبار الجيدة هي أنه على عكس أجهزة التوجيه على سبيل المثال ، فإن العديد من أجهزة إنترنت الأشياء هذه تأتي مع إمكانات التحديث التلقائي ، لذلك كلما تم العثور على مشكلة ، يمكن للموردين توزيع الإصلاح بسهولة أكبر. لقد اتصلت Veracode بالفعل بالبائعين المتأثرين وكان واحد على الأقل منهم ، Wink ، قد أصدر بالفعل رقع.
عرض مصممة مصممة لتصحيح الرؤية بدون نظارات
يتوهم مستقبلا دون النظارات التصحيحية؟ إذا كان الأمر كذلك ، قد يكون لدى الأشخاص في عروض Tailored يومًا ما شيئًا بالنسبة لك.
يوضح الباحثون أن أجهزة إنترنت الأشياء غير مصممة بأمان في الاعتبار
غياب التشفير ومشكلات الأمان الأخرى الموجودة في مراكز التشغيل الآلي للمنزل تسهيل عمليات السطو والمطاردة والتجسس
![تحديث Ios 9.2 الذي تم إصداره مع إصلاحات الأخطاء [روابط تنزيل ipsw]](https://i.joecomp.com/img/ipad/942/ios-9-2-update-released-with-bug-fixes.jpg)
