على مدار الأسبوع ، تم اختيار العديد من الأخبار حول موضوع "مازال الخطأ في إنترنت الأشياء" (الأعداد السابقة:
1 ،
2 ،
3 ). تم اكتشاف نقاط الضعف في واجهة الويب الخاصة بتتبعات GPS ، وكاميرات فيديو شبكة D-Link والأجهزة المماثلة من مختلف الشركات المصنعة من الصين ، وحتى في لوحات LCD المزودة باتصال لاسلكي ، وعادة ما تستخدم في العروض التقديمية للمكاتب.
لنبدأ بالمشكلة التي تؤثر على الحد الأقصى لعدد الأجهزة: كاميرات الفيديو وكابلات الباب التي يتم التحكم فيها عن بُعد وشاشات الأطفال من العديد من الشركات المصنعة من الصين. اكتشف الباحث Paul Marrapeze (
أخبار ،
تقرير قصير) أنه يمكن الحصول على الوصول إلى هذه الأجهزة دون إذن من خلال فرز الأرقام التسلسلية ، والتي يتم تجميعها باستخدام خوارزمية بسيطة.
تشترك جميع الأجهزة في تطبيق مشترك للتحكم عن بعد يُعرف باسم iLnkP2P. عند الاتصال لأول مرة ، يحتاج مالك جهاز IoT إلى مسح الرمز الشريطي المطبوع على العلبة أو إدخال الرقم التسلسلي يدويًا. وفقًا لذلك ، يمكن للمهاجمين بسهولة مسح النطاق الكامل للأرقام التسلسلية والعثور على أجهزة العمل والوصول إليها باستخدام تسجيل الدخول وكلمة المرور الافتراضية.
حتى لو قام المالك بتغيير كلمة المرور ، في بعض الحالات يمكن اعتراضها ، لأن بعض الأجهزة الضعيفة لا تستخدم تشفير البيانات. وفقًا للباحث ، تتم المطالبة بتشفير البيانات لبعض الأجهزة ، على الرغم من أن المعلومات يتم نقلها بنص واضح. في المجموع ، تم تحديد 15 نوعًا من الأجهزة على الأقل ست شركات مختلفة. من غير المحتمل أن يتم تجميع قائمة كاملة بالأجهزة المستضعفة ؛ فمن السهل تحديدها حسب اسم التطبيق وجزء من الرقم التسلسلي.
لم يستجب مطور التطبيق لطلبات الباحث ، ومن غير المرجح أن يتمكن من إغلاق هذه الثغرة الأمنية تمامًا: سيتعين عليه كسر آلية الترخيص للأجهزة الجديدة. علاوة على ذلك ، يبدو أن موقع مطور البرامج قد تم اختراقه ، وهناك برنامج نصي يعيد توجيه الزائرين إلى الملعب الصيني. فقط منع نقل البيانات عبر منفذ UDP 32100 ، والذي من خلاله تصل الأجهزة إلى الإنترنت ، سوف يساعد.
يواجه مؤلف "دراسة" أخرى مشاكل واضحة في النهج الأخلاقي لإيجاد نقاط الضعف. بدلاً من إخطار البائع ، قام أحد المتسللين المسمى L&M باختراق عشرات الآلاف من ملفات تعريف خدمة تحديد الموقع الجغرافي والمعلومات المتسربة إلى الوسائط (
أخبار ،
مقالة أصلية على اللوحة الأم). هذه خدمة ويب لتتبع نظامي التتبع ProTrack و iTrack.
عادةً ما يتم تثبيت أجهزة التتبع هذه في السيارات وتتيح لك تتبع حركات التتبع عن بُعد. في بعض الحالات ، تكون الوظيفة المتقدمة ممكنة ، مثل بدء تشغيل المحرك وإيقافه. للوصول إلى البيانات وتطبيقات التحكم للهواتف الذكية المستخدمة. أثناء استكشاف التطبيقات ، وجد L&M أنه بشكل افتراضي ، يتلقى عملاء الخدمة كلمة المرور 123456 ، ولا يغيرها الجميع.
ونتيجة لذلك ، أصبح من الممكن الوصول إلى بيانات حول موقع الجهاز ، والاسم الحقيقي للعميل ، وبالنسبة لبعض الأجهزة ، كان من الممكن إيقاف تشغيل المحرك عن بُعد إذا كانت السيارة تقف أو تتحرك بسرعة تصل إلى 20 كيلومترًا في الساعة. تمكنت اللوحة الأم من الاتصال بأربعة مالكي الأجهزة وتأكيد صحة البيانات المستلمة دون إذن. نقطة ضعف مثيرة للاهتمام وخطيرة ، ولكن على أي حال ، يتم إجراء الدراسات الأمنية بشكل مختلف قليلاً.
أضف دراسة ESET (
الأخبار ،
تقرير الشركة) حول مشكلة عدم حصانة كاميرات D-Link DCS-2132L IP إلى قائمة مشكلات إنترنت الأشياء. لقد وجد الخبراء أنه يتم إرسال جزء كبير من البيانات بين الكاميرا وتطبيق التحكم دون تشفير. هذا يجعل من الممكن اعتراض بيانات الفيديو ، ولكن فقط باستخدام برنامج نصي Man-In-The-Middle أو مع الوصول إلى شبكة محلية. في الحالة الأخيرة ، من الممكن استبدال البرامج الثابتة للجهاز.
أخيرًا ، اكتشف باحثو Tenable Security (
خبر ،
تقرير ) 15 نقطة ضعف في العروض اللاسلكية الشائعة من العديد من الشركات المصنعة ، بما في ذلك Crestron AirMedia و Barco wePresent. تستخدم جميع الشاشات المتأثرة (تقريبًا) نفس الرمز لتوصيل أجهزة الكمبيوتر لاسلكيًا. لا تتطلب هذه الأجهزة أولاً توصيل الأسلاك بالكمبيوتر ، وثانياً ، يمكن التحكم فيها عبر واجهة الويب. تسمح الثغرات الأمنية المكتشفة عند فحص جهاز Crestron AM-100 بالوصول الكامل إلى الشاشة اللاسلكية.
هذه المشكلة مثيرة للاهتمام في سياق سيناريو استخدام مثل هذه اللوحات: يتم تثبيتها في المكاتب ، ويمكن الوصول إلى الشبكة المحلية للمؤسسة وفي الوقت نفسه تبسيط الوصول إلى اللوحة نفسها للضيوف. يمكن أن تؤدي إعدادات الشاشة غير الدقيقة إلى حدوث انتهاك خطير في حماية شبكة الكمبيوتر. وفقًا للباحثين ، تمت تغطية نقاط الضعف جزئيًا بواسطة تحديث البرنامج.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.