پژوهشگران دانشگاه میشیگان: پلتفرم SmartThings سامسونگ دچار مشکلات امنیتی عدیده است

پژوهشگران دانشگاه میشیگان از وجود چندین شکاف امنیتی در طراحی پلتفرم SmartThings سامسونگ خبر داده اند که می توانند به اپلیکیشن های مخرب امکان ورود و تعریف نمودن کدهای دسترسی به منازل را بدهند و باعث آژیر کشیدن اشتباهی سیستم های اطفای حریق شده، لوازم خانگی را در وضعیت موسوم به vacation یا حضور خانواده در تعطیلات قرار دهند و بسیاری حملات عجیب و غریب دیگر را ترتیب دهند.

البته لازم است یادآور شویم که انجام تمامی این حملات منوط به آن است که کاربران اپلیکیشن های مخرب را از استور SmartThings دریافت کرده و نصب نمایند یا اینکه روی یک کد مخرب کلیک کنند.

طبق گفته این گروه از دانشمندان پلتفرم خانه هوشمند سامسونگ مشکلات متعددی دارد اما مهم ترینشان امتیازاتی است که در اختیار برخی اپلیکیشن ها قرار داده می شود که البته به بسیاری از آنها نیازی نیست.

برای نمونه یک قفل هوشمند صرفا باید بتواند خود را از راه دور قفل کند اما API مربوط به SmartThings، این فرمان (یعنی قفل نمودن از راه دور) را با فرمان قفل گشایی همراه می کند که به لطف آن یک مهاجم می تواند حملات فیزیکی مدنظر خود را علیه اهداف متعدد به انجام برساند.

روش اتصال SmartApps به دستگاه های فیزیکی یکی دیگر از مواردی است که به ارائه امتیازات بیش از اندازه به اپلیکیشن ها منجر می شود. وقتی کاربری اپ SmartApp را دانلود می کند، از او درخواست می شود تا برای انجام وظایف برنامه، اختیارات و دسترسی های لازم را به آن بدهد.

بعد از نصب اپلیکیشن، SmartThings که می تواند خود را با آن مجوزهای دسترسی سینک کند، لیست کلیه دستگاه هایی که همراه با آن قابل استفاده هستند را ارائه می دهد و هم زمان دسترسی های بیشتری را هم در اختیار اپلیکیشن ها می گذارد.

اپلیکیشن ها امتیازاتی به مراتب بیشتر از حد نیاز را دریافت می کنند.

محققان دانشگاه میشیگان برای اثبات این یافته خود از اپلیکیشنی استفاده کردند که وعده می داد عمر باتری دستگاه های مختلف را تحت نظر بگیرد. در صورتی که کاربر به آن اپلیکیشن مخرب اما در ظاهر در ظاهر بی ضرر اجازه می داد که به قفل هوشمند خانگی اش دسترسی پیدا کند آنگاه امکانی برای پژوهشگران فراهم می گردید که علاوه بر پایش عمر باتری، کارکردهای دیگر قفل را هم به دست بگیرند و و برای نمونه درب منزل او را هم باز کنند.

بالغ بر 42 درصد از کلیه اپلیکیشن های استور Smartthings امتیازاتی فراتر از حد نیاز دارند.

طبق یافته این پژوهشگران 42 درصد از 499 اپلیکیشن بررسی شده در SmartApps هر یک به طریقی امتیازاتی فراتر از حد نیاز دارند. در نمونه ای دیگر دانشمندان یک شکاف امنیتی دیگر را یافتند که می شد از آن برای ارائه پین دلخواه به قفل های هوشمند استفاده کرد و از این طریق نوعی درب پشتی مخفی را ایجاد نمود.

آسیب پذیری هایی که به آنها اشاره شد مستلزم تعامل کاربر هستند اما دانشمندان اعلام نموده اند که بسیاری از مردم به صورت آماده و حاضر چنین امتیازاتی را به اپلیکیشن ها می دهند یا اینکه نمی دانند چطور آن دسترسی ها به SmartThings داده شده است.

پژوهشگران دانشگاه میشیگان برای انجام این تحقیق 22 کاربر پلتفرم یاد شده را مورد مطالعه قرار دادند که 91 درصد آنها اعلام کردند به اپلیکیشن های پایش باتری اجازه می دهند قفل هوشمندشان را هم چک کند و در نتیجه دسترسی لازم به کارکردهای قفل را به آن می دهند. از این میان تنها 14 درصد باور داشتند که با ارائه این دسترسی اپلیکیشن باتری امکان می یابد که کدهای دسترسی به در را برای یک سرور ریموت ارسال نماید.

لازم است یادآور شویم که این شکاف های امنیتی کلیدی و بسیار مهم نخستین بار نیست که در دستگاه های هوشمند و پلتفرمهای مختلف آنها مشاهده می شوند اما مسائل کشف شده در رابطه با SmartThings حاکی از وجود مشکلات امنیتی ذاتی در آن است که می توانند هرلحظه شدت بیشتری پیدا کنند.

گفتنی است که سامسونگ SmartThings را حدودا دو سال پیش و درست زمانی خریداری کرد که صنعت اینترنت اشیاء تازه شروع به شکوفایی کرده بود و حالا بسیاری از دستگاه هایی که توسط این شرکت تولید می شود قابلیت اتصال به اینترنت را دارند.

شرکت ارائه دهنده این پلتفرم نیز بعد از انتشار گزارش محققان دانشگاه میشیگان اعلام کرد که ترغیب شده اسناد ارائه شده به توسعه دهندگان در مورد چگونگی حفظ امنیت کدهای منبع را به روز رسانی کند.

سامسونگ می گوید نظارتش بر اپلیکیشن ها به خاطر حفظ امنیت کاربران است.

آسیب پذیری های بالقوه ای که در این گزارش به آنها اشاره شده عمدتا روی دو سناریو استوار هستند؛ نصب یک اپلیکیشن مخرب از استور مربوطه یا ناکامی توسعه دهندگان شخص ثالث در تبعیت از دستورالعمل های  SmartThings پیرامون حفظ امنیت کدهایشان.

این شرکت همچنین اعلام کرده است که اپلیکیشن های ارائه شده به استور  SmartThings را مورد نقد و بررسی قرار خواهد داد تا از گسترش اپلیکیشن های مخرب پیشگیری نماید اما تیم دانشگاه میشیگان باور دارند که چنین اقداماتی کافی نیستند.

آنها در مطلبی پیرامون همین موضوع اینطور نوشتند: دستگاه های متعلق به خانه هوشمند و پلتفرم های برنامه نویسی مربوط به آنها همچنان زیاد می شوند و جذابیت خود را برای مشتریان حفظ خواهند کرد زیرا کارکردهای بالایی دارند.

در ادامه این مطلب آمده است: «با این همه، طبق یافته ها و داده های ارائه شده در این مقاله لازم است که جوانب احتیاط هم از سوی آنها که جزو اولین خریداران هستنند و هم از جانب طراحان فریم ورک این محصولات رعایت شوند. خطرات البته زیاد هستند و به نظر نمی آید که با ارائه پچ های امنیتی ساده بتوان آنها را رفع نمود.»

" 2=""" allowFullScreen="true" webkitallowfullscreen="true"
mozallowfullscreen="true">

مطالب مرتبط

تامین مالی جمعی استارت‌آپ‌ها با کارمزدی غیرمنصفانه

بر اساس اعلام مدیریت نظارت بر نهادهای مالی، به عاملان یا نهادهای ارائه کننده خدمات تامین مالی جمعی به استارت‌آپ‌ها ۴ درصد و شرکت‌های فرابورس نیم درصد کارمزد تعلق خواهد گرفت؛ موضوعی که از نگاه فعالان استارت‌آپی غیر منصفانه بوده و اعتراض آنها را به همراه داشته است. به گزارش دیجیاتو تامین مالی جمعی برای استارت‌آپ‌ها... ادامه مطلب

پلیس فدرال آمریکا در حال توسعه یک هوش مصنوعی برای شناسایی مجرمان براساس خالکوبی آنها است

تکنولوژی تشخیص تصاویر به کمک هوش مصنوعی چندی وقتی است که محبوبیت زیادی میان کمپانی های بزرگ صنعت تکنولوژی یافته و حالا ظاهرا پلیس فدرال آمریکا هم به آن تمایل پیدا کرده است. بنابر گزارش های اخیر، «انستیتوی ملی استانداردها و تکنولوژی» از سال 2014 مشغول همکاری با FBI بوده تا یک هوش مصنوعی برای... ادامه مطلب

انتشار تصویری از Moto E3؛ موبایل اقتصادی جدیدی از موتورولا در راه است [بروز رسانی شد]

«اوان بلس» که با نام کاربری «evleaks@» در توییتر فعالیت می کند، امروز تصویر تازه ای از یک موبایل متعلق به موتورولا منتشر کرده و آن را به Moto E3 نسبت داده است. در این میان اطلاعات سخت افزاری به بیرون راه نیافته و صرفا به نظر می رسد که این محصول، یکی از اقتصادی ترین... ادامه مطلب

نگاهی بر آخرین تیر ترکش بلک بری؛ آیا اندروید می تواند راه نجات این شرکت باشد؟

یکی از روزهای گرم زمستان در ژانویه سال 2014 بود که ران لاکس به لاس وگاس سفر کرد تا یکی از بزرگ ترین قمارهای زندگی کاری اش را رقم بزند. او تازه به سمت مدیریت بخش موبایل بلک بری منصوب شده بود، با این همه به زودی قرار بود، مسیر آینده شرکت متبوعش را تغییر... ادامه مطلب

مروری بر روزگار تولید کنندگان کامپیوترهای شخصی در تایوان؛ بزرگان بازار در پی کسب درآمد از راه هایی تازه هستند

این روزها ایام چندان به کام کامپیوتر سازان شخصی در تایوان نیست و بازاری که روزگاری چندین میلیارد دلار ارزش داشت حالا به شکلی درآمده که نام های بزرگی همانند ایسر و ایسوس را دچار چالش هایی جدی کرده و آینده ای نه چندان واضح را در پیش روی شان قرار داده است. بر طبق اطلاعات انتشار... ادامه مطلب

نادلا با خرید استارت آپ های مختلف چگونه خواهد توانست مایکروسافت را احیا کند؟

سال گذشته، شرکت مایکروسافت کلاینت ایمیل Acompli را خریداری نمود. در روزهای گذشته نیز شایعاتی مبنی بر خرید Sunrise توسط این شرکت مطرح گشته بود که در نهایت این خبر توسط ساتیا نادلا مورد تایید قرار گرفت؛ سانرایز یک اپلیکیشن هوشمند تقویم برای تلفن های همراه است. ذکر این نکته نیز لازم است که هم کلاینت ایمیل... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x