شناسایی یک آسیب پذیری بحرانی در دستگاه های IoT

۱کمیته رکن چهارم –  محققان پس از انجام مراحل تست بر روی دستگاه های IoT دریافتند که سازندگان اغلب ویژگی های امنیتی حداقلی را برای این دستگاه ها پیاده سازی می کنند و مشتریان نیز گزینه های متعدد برای بالا بردن استاندارهای امنیتی از قبیل تغییر رمز عبور و نصب نرم افزارهای امنیتی جانبی را ندارند.

به گزارش کمیته رکن چهارم -تعدادی آسیب پذیری در ZigBee، استاندارد معروف استفاده شده توسط دستگاه های IoT شناسایی شده است. دستگاه های IoT در بخش فناوری های خانگی مورد استفاه قرار می گیرد.

در حالیکه این دستگاه ها باعث می شوند تا خانه ها تبدیل به مکانی کارا و جالب شود، پس از اتصال این دستگاه ها به اینترنت، آن ها تبدیل به مسیری برای سوء استفاده بالقوه از آسیب پذیری های نرم افزاری می شوند و تولیدکنندگان IoT اطلاعی در خصوص خطرهای امنیتی ندارند.
استانداری که به دستگاه های IoT اجازه می دهد تا با هم ارتباط برقرار کنند در معرض خطر قرار دارد. در کنفرانس کلاه سیاه امسال محققان شرکت امنیتی Cognosec نشان دادند که استاندارد ZigBee حاوی تعدادی حفره امنیتی است.
ZigBee یک استاندارد بی سیم جهانی باز مبتنی بر IEEE 802.15.4 است که توسط کارخانه های سازنده دستگاه های IoT از قبیل سامسونگ، فیلیپس، موتورولا و لوازم تگزاس مورد استفاده قرار می گیرد. هدف این پروتکل ارتقاء سطح ارتباط و سازگاری بین دستگاه های مختلف IoT می باشد و با وجود مزیت های آن، خطرهای امنیتی شناخته شده زیادی این پروتکل را تهدید می کند.
محققان Cognosec دریافتند این امکان وجود دارد که با سوء استفاده از شبکه های  ZigBeeکنترل دستگاه های IoT متصل به هاب استفاده کننده از این پروتکل در اختیار مهاجمان قرار گیرد. تنظیمات ساده و استفاده نامناسب از ویژگی های این دستگاه ها تاثیر منفی بر روی امنیت آن ها می گذارد و این امر ناشی از عدم وجود پیکربندی های مناسب و لایه های حفاظتی برای محصولات IoT استفاده کننده از پروتکل ZigBee می باشد.
یک مشکل شناسایی شده در این پروتکل می تواند کل شبکه را تحت تاثیر قرار دهد. این مشکل به عنوان آسیب پذیری رویه زوج شدن دستگاه ها شناخته شده است که به افراد ثالث اجازه می دهد تا تبادل کلیدهای شبکه را شنود کنند. این مساله می تواند دستگاه ها را در معرض خطر حملات MitM و ارتباط ربایی دستگاه قرار دهد. در نتیجه این مشکل در رده امنیتی بحرانی قرار می گیرد.
محققان پس از انجام مراحل تست بر روی دستگاه های IoT دریافتند که سازندگان اغلب ویژگی های امنیتی حداقلی را برای این دستگاه ها پیاده سازی می کنند و مشتریان نیز گزینه های متعدد برای بالا بردن استاندارهای امنیتی از قبیل تغییر رمز عبور و نصب نرم افزارهای امنیتی جانبی را ندارند. کلیدهای انتقال پیش فرض قابل تغییر نمی باشند و می توان به راحتی آن ها را در وب جستجو کرد.
منبع : مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.