في العنوان التقليدي "ما الذي لا يزال خاطئًا مع إنترنت الأشياء" ، تمت إضافة دراسة علمية للمتخصصين من جامعة ميشيغان وجامعة بيرنامبوكو البرازيلية الفيدرالية. فحصت الدراسة 96 من أجهزة إنترنت الأشياء للحصول على منزل ذكي من قائمة الأكثر مبيعًا على موقع أمازون. قام العلماء بتحليل التطبيقات لإدارة هذه الأجهزة من هاتف ذكي ، يدويًا واستخدام أدوات تحليل اتصالات الشبكة الآلية. أولاً وقبل كل شيء ، بحثوا عن نقاط الضعف التي يمكن أن تتحكم في أجهزة إنترنت الأشياء بسبب عدم كفاية الاتصال الآمن.
بالنسبة لـ 96 جهازًا مختلفًا ، تم تجميع 32 تطبيقًا للتحكم الفريد. نصفهم إما لا يقومون بتشفير حركة المرور عند العمل مع إنترنت الأشياء ، أو استخدام مفاتيح تشفير ثابتة. وفقًا لذلك ، لا يمكن للمالك فقط التحكم في الأجهزة ، ولكن أي شخص بشكل عام ، مع تحذير واحد - إذا كان لديك وصول إلى الشبكة المحلية. الدراسة في PDF
هنا ، ملخص موجز باللغة الروسية في
هذا الخبر . سوف نتناول التفاصيل الأكثر إثارة للاهتمام في العمل.
على عكس دراسة أمنية نموذجية ، تركز عادة على ثغرة أمنية محددة لجهاز معين ، فإن العمل العلمي للخبراء البرازيليين والأمريكيين يقدم مقاربة متكاملة. يمكن استخدامه نظريًا لتقييم أمان أي أجهزة إنترنت الأشياء التي يمكنها الاتصال بالإنترنت و / أو الشبكة المحلية. تبين أن النهج هو التالي: نحن نقتصر على دراسة تطبيقات التحكم وكيفية تفاعلها مع أجهزة المنزل الذكي نفسه. لا تؤخذ الثغرات الموجودة في الأجهزة نفسها في الاعتبار - من المفترض أنه إذا كان جزء العميل ضعيفًا ، فلا يمكنك البحث بشكل أكبر ، وبالتالي فإن كل شيء سيء بما فيه الكفاية.
يتضمن مخطط تشغيل جهاز نموذجي ، مثل كاميرا CCTV ، التفاعل مع الهاتف الذكي من خلال وحدة تحكم - إما مباشرة من خلال شبكة محلية أو من خلال نظام سحابي من جانب الشركة المصنعة. للبدء ، قام الباحثون بشراء الأجهزة المنزلية الخمسة الأكثر شعبية ودراستها يدويا. تم اكتشاف المشكلات فورًا - على سبيل المثال ، مع منفذ TP-Link الذي يتم التحكم فيه عن بُعد:
يحدث التكوين الأولي للجهاز من خلال التطبيق على الهاتف الذكي تمامًا دون تشفير. أثناء التشغيل العادي ، يتم توفير تشفير البيانات ، ولكن مفتاح التشفير واحد لجميع الأجهزة في السلسلة. لتأكيد العواقب العملية لهذا النهج ، قام الباحثون بتحميل
فيديو يؤكد إمكانية السيطرة على الجهاز. سمحت لنا دراسة خمسة أجهزة بصياغة أسئلة ، تم العثور على الإجابات عليها لاحقًا باستخدام نظام التحليل الآلي (غالبًا):
- هل يستخدم مفتاح التشفير "الافتراضي" في البرامج الثابتة؟
- هل هناك اتصال مباشر بين الجهاز والهاتف الذكي عبر الشبكة المحلية؟
- هل يرسل التطبيق والجهاز رسائل البث عبر الشبكة؟
- هل يتم استخدام بروتوكول اتصال ضعيف بشكل متعمد؟
فيما يلي إجابات التطبيقات الأربعة المختارة:
Kasa Smart هو تطبيق لأجهزة TP-Link ، مثل المقبس الذكي أعلاه.
LIFX هي شركة تصنيع المصابيح التي يتم التحكم فيها عن بُعد. تم تطوير WeMo بواسطة Belkin ، والتحكم الإلكتروني هو
BroadLink ، وفي كلتا الحالتين يتعلق الأمر بالتحكم في الإضاءة والأجهزة الكهربائية وأجهزة التلفزيون والأجهزة المنزلية عبر الأشعة تحت الحمراء ، وكذلك أنظمة الأمان. في حالة WeMo ، وجد الباحثون نقصًا في التشفير وأي نوع من التفويض عند التواصل مع الأجهزة على الشبكة المحلية. من خلال اعتراض حزم الشبكة ، تمكن العلماء من إنشاء برنامج نصي يتحكم في أجهزة Belkin الذكية دون علم المالك.
نتائج البحث العامة: 16 تطبيقًا إما لا تستخدم التشفير أو يتم تشفيرها باستخدام مفتاح ثابت. 18 تطبيقًا تتواصل مع الأجهزة الموجودة على شبكة محلية ، و 14 تطبيقًا تتواصل فقط من خلال خادم الشركة المصنعة. 6 تطبيقات تستخدم بروتوكولات الاتصال الضعيفة.
طلب السجل تعليقات من الشركات المذكورة في الدراسة. إن تعليق LIFX لمصنع اللمبة الذكية هو أن الشركة تبحث عن توازن بين السلامة والراحة ، وهذا بشكل عام هو المشكلة الرئيسية لأجهزة IoT.
الاتصالات المباشرة بين الأجهزة (أو وحدة التحكم) والهاتف الذكي عبر شبكة محلية تحمي المستخدم من الإفلاس المفاجئ للشركة المصنعة أو إنهاء الدعم للأجهزة المتقادمة. إذا كان إنترنت الأشياء في هذه الحالة مرتبطًا بالسحابة ، ستجد نفسك وجهاً لوجه بقطعة حديد مكسورة. لكن حجة الشركات المصنعة بأنه ليست هناك حاجة لحماية الاتصالات في الشبكة المحلية قابلة للنقاش. يمكن اختراق شبكة محلية ؛ فهناك أيضًا إمكانية اختراق جهاز يمكنه الوصول إليها. نقاط الضعف العديدة في أجهزة التوجيه ، الإعدادات التي يمكنك تغييرها عن طريق فتح الرابط الصحيح في المتصفح ، تؤكد ذلك.
تقدم الدراسة أمثلة على الأجهزة "الصحيحة" التي يحدث فيها التفاعل مع تطبيق التحكم فقط من خلال نظام السحابة ، مع المستوى اللازم من تشفير البيانات المرسلة. هذه هي منتجات Nest و EZVIZ. كما أنها تنفذ طريقة آمنة نسبيًا لتهيئة الجهاز في البداية. في الحالة الأولى ، هو رمز مصادقة عشوائي يتم عرضه على شاشة الجهاز. في الحالة الثانية ، يتم تطبيق خط تفويض فريد على الجهاز في شكل رمز الاستجابة السريعة ، والذي يجب فحصه.
يمكن تحدي الأولويات التي حددها الباحثون في هذا العمل ، وكذلك الأفكار حول النهج الصحيح لحماية اتصالات أنظمة المنزل الذكي. على الأقل ، تؤكد الدراسة مرة أخرى أنه ليس من المجدي خفض حماية قنوات الاتصال بوعي حتى في الشبكة المحلية. قد تكون العواقب خطيرة ، خاصةً إذا تم استخدام طرق غير آمنة بواسطة أجهزة الإنذار الذكية أو قفل الباب المتصل بالإنترنت.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.