سام ثابتان، محقق امنیت سایبری، دیروز به صورت عمومی منتشر شد افشاگری های ناامنی در مقابل فروشنده اینترنت اشیا Nexx، که طیف وسیعی از دستگاههای «هوشمند» از جمله دربازکن، آلارم خانه و دوشاخه برق قابل تعویض از راه دور را میفروشد.
به گفته ثابتان، او در ژانویه 2023 این اشکالات را به Nexx گزارش کرد، اما فایده ای نداشت.
بنابراین او تصمیم گرفت که زنگ خطر را آشکارا به صدا درآورد، اکنون آوریل 2023 است.
این هشدار به اندازه کافی توسط قدرت ها جدی تلقی شد که حتی اگر به طور مکرر از آن نام برده شود آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده، یا CISA، منتشر شده است مشاوره رسمی در مورد ایرادات
Sabetan عمداً جزئیات دقیق باگها را منتشر نکرد، یا هیچ کد اثبات مفهومی ارائه نکرد که به هر کسی اجازه دهد بدون اینکه از قبل بداند در حال انجام چه کاری است شروع به هک کردن دستگاههای Nexx کند.
اما با توجه به یک ویدیوی مختصر و اصلاحشده با حفظ حریم خصوصی که توسط Sabetan برای اثبات نظرش ارائه شده است، و جزئیات باگهای شمارهبندی شده با CVE که توسط CISA فهرست شدهاند، بهاندازه کافی آسان است که بفهمیم این نقصها احتمالاً چگونه در دستگاههای Nexx برنامهریزی شدهاند.
بهطور دقیقتر، شاید به راحتی بتوان آنچه را که در سیستم Nexx برنامهریزی نشده بود، مشاهده کرد، بنابراین درها را برای مهاجمان کاملاً باز گذاشت.
رمز عبور لازم نیست
پنج عدد CVE بوده است اختصاص داده به اشکالات (CVE-2023-1748 تا CVE-2023-1752 شامل)، که تعدادی از حذفیات امنیت سایبری را پوشش می دهد، ظاهراً شامل سه اشتباه امنیتی مرتبط زیر است:
- اعتبارنامه هارد کد شده. یک کد دسترسی که میتواند از میانافزار Nexx بازیابی شود، به مهاجم اجازه میدهد تا سرورهای ابری خود Nexx را جاسوسی کند و پیامهای فرمان و کنترل را بین کاربران و دستگاههایشان بازیابی کند. این شامل به اصطلاح شناسه دستگاه - یک رشته منحصر به فرد اختصاص داده شده به هر دستگاه. دادههای پیام ظاهراً شامل آدرس ایمیل کاربر و نام و حرف اول مورد استفاده برای ثبت دستگاه نیز میشود، بنابراین یک مشکل کوچک اما مهم حریم خصوصی در اینجا نیز وجود دارد.
- احراز هویت با فاکتور صفر اگرچه قرار نیست شناسههای دستگاه مانند آدرسهای ایمیل یا دستههای توییتر به صورت عمومی تبلیغ شوند، اما قرار نیست بهعنوان نشانههای احراز هویت یا رمز عبور استفاده شوند. اما مهاجمانی که شناسه دستگاه شما را میدانند، میتوانند از آن برای کنترل آن دستگاه استفاده کنند، بدون ارائه هیچ نوع رمز عبور یا مدرک رمزنگاری اضافی مبنی بر اینکه مجاز به دسترسی به آن هستند.
- بدون محافظت در برابر حملات تکراری هنگامی که فهمیدید یک پیام فرمان و کنترل برای دستگاه خودتان (یا شخص دیگری) چگونه به نظر می رسد، می توانید از همان داده ها برای تکرار درخواست استفاده کنید. اگر امروز بتوانید در گاراژ من را باز کنید، زنگ ساعت را خاموش کنید، یا برق دوشاخه های "هوشمند" من را بچرخانید، به نظر می رسد که از قبل تمام داده های شبکه را دارید که برای انجام دوباره و دوباره همان کار نیاز دارید، کمی شبیه به آن فوبهای ماشین مادون قرمز قدیمی و ناامن که میتوانید آنها را به دلخواه ضبط و پخش کنید.
نگاه کن، گوش کن و یاد بگیر
Sabetan از اعتبار دسترسی سیمکشی شده از میانافزار Nexx برای نظارت بر ترافیک شبکه در سیستم ابری Nexx در حین کار کردن درب گاراژ خود استفاده کرد:
امروز من تحقیقاتم را در مورد آن رونمایی می کنم @GetNexx اکوسیستم هوشمند: میتوانم درهای گاراژ هر مشتری را باز کنم. علیرغم هشدارها، آنها این موضوع را نادیده گرفتند. 1/4 https://t.co/9V5uuT3LLE
- سام ثابتان (@samsabetan) آوریل 4، 2023
این به اندازه کافی معقول است، حتی اگر اعتبار دسترسی مدفون شده در سیستم عامل به طور رسمی منتشر نشده باشد، با توجه به اینکه به نظر می رسد قصد او این بوده است که مبادله داده ها بین برنامه روی تلفنش تا چه اندازه ایمن (و تا چه حد نسبت به حفظ حریم خصوصی) خوب بوده است. و Nexx، و بین Nexx و درب گاراژ او.
به این ترتیب او خیلی زود متوجه شد که:
- سرویس «کارگزار» ابری شامل دادههایی در ترافیک خود بود که ضروری نبود به تجارت باز و بسته کردن در، مانند آدرس ایمیل، نام خانوادگی و حروف اول.
- ترافیک درخواست می تواند مستقیماً در سرویس ابری پخش شود، و همان عمل قبلی را تکرار می کرد، مانند باز کردن یا بستن در.
- دادههای شبکه ترافیک سایر کاربرانی را که همزمان با دستگاههایشان در حال تعامل بودند، نشان میدهد. نشان می دهد که همه دستگاه ها همیشه از یک کلید دسترسی برای تمام ترافیک خود استفاده می کنند و بنابراین هر کسی می تواند همه را زیر و رو کند.
توجه داشته باشید که مهاجم برای سوء استفاده از این ناامنیها نیازی به دانستن محل زندگی شما ندارد، اگرچه اگر بتواند آدرس ایمیل شما را به آدرس فیزیکی شما گره بزند، میتواند ترتیبی دهد که در لحظه باز کردن درب گاراژ شما حضور داشته باشد یا میتواند منتظر بماند. تا زنگ هشدار خود را خاموش کنید تا زمانی که دقیقاً در مسیر ورودی شما قرار گیرد و در نتیجه از این فرصت برای سرقت اموال خود استفاده کنید.
مهاجمان میتوانند درب گاراژ شما را بدون اطلاع یا اهمیت دادن به محل زندگیتان باز کنند، و در نتیجه شما را در معرض دزدان فرصتطلب در منطقهتان قرار دهند... فقط بهعنوان «لالز».
چه کاری انجام دهید؟
- اگر محصول «هوشمند» Nexx دارید، مستقیماً با شرکت تماس بگیرید برای مشاوره در مورد آنچه که قصد دارد در آینده انجام دهد و تا چه زمانی.
- دستگاههای خود را مستقیماً، نه از طریق برنامه مبتنی بر ابر Nexx، تا زمانی که وصلهها در دسترس هستند، کار کنید. با فرض اینکه این برای دستگاه هایی که شما دارید امکان پذیر است. به این ترتیب از تبادل دادههای فرمان و کنترل قابل لمس با سرورهای ابری Nexx جلوگیری میکنید.
- اگر برنامه نویس هستید، از میانبرهای امنیتی مانند این استفاده نکنید. پسوردهای رمزگذاری شده یا کدهای دسترسی در سال 1993 غیرقابل قبول بودند، و اکنون که در سال 2023 است بسیار غیرقابل قبول هستند. نحوه استفاده از رمزنگاری کلید عمومی برای احراز هویت منحصر به فرد هر دستگاه را بیاموزید و یاد بگیرید که چگونه از کلیدهای جلسه زودگذر استفاده کنید. که داده ها در هر تعامل فرمان و کنترل از نظر رمزنگاری به تنهایی هستند.
- اگر فروشنده هستید، تلاشهای صادقانه محققان برای اطلاع از مشکلات را نادیده نگیرید. تا جایی که در این مورد می بینیم ثابتان به دلیل مشتری بودن، به طور قانونی کد شرکت را بررسی و آمادگی امنیتی آن را مشخص کرده است. با پیدا کردن ایرادات، او سعی کرد به فروشنده هشدار دهد که به خودش کمک کند، به فروشنده کمک کند، و به بقیه کمک کند.
هیچ کس دوست ندارد با این اتهامات مواجه شود که کد برنامه نویسی آنها در حد امنیت سایبری نبوده است، یا اینکه کد سرور پشتی آنها حاوی اشکالات خطرناکی است…
... اما وقتی شواهد از جانب کسی می آید که به نفع خود شما می گوید، و مایل است قبل از انتشار عمومی به شما زمان روشنی برای رفع مشکلات بدهد، چرا این فرصت را رد کنید؟
از این گذشته، کلاهبرداران همان تلاش خود را برای یافتن اشکالاتی مانند این صرف می کنند و سپس به هیچ کس به جز خود یا سایر کلاهبرداران نمی گویند.
با نادیده گرفتن محققان و مشتریان قانونی که مشتاقانه سعی می کنند در مورد مشکلات به شما هشدار دهند، فقط دست مجرمان سایبری را بازی می کنید که اشکالات را پیدا می کنند و حتی یک کلمه در مورد آنها دم نمی زنند.
همانطور که جوک قدیمی می گوید، "S" در اینترنت اشیا مخفف امنیت است"، و این یک وضعیت تاسف بار و کاملاً قابل اجتناب است که ما باید فوراً آن را تغییر دهیم.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/04/05/us-government-warning-what-if-anyone-could-open-your-garage-door/
- :است
- $UP
- 1
- 2023
- a
- درباره ما
- مطلق
- سو استفاده کردن
- دسترسی
- اتهامات
- عمل
- اضافی
- نشانی
- آدرس
- نصیحت
- در برابر
- هشدار
- هوشیار
- معرفی
- اجازه می دهد تا
- قبلا
- هر چند
- همیشه
- و
- و زیرساخت
- هر کس
- هر جا
- نرم افزار
- آوریل
- هستند
- AS
- اختصاص داده
- At
- حمله
- تلاش
- تلاشها
- تصدیق کردن
- تصدیق
- نویسنده
- خودکار
- در دسترس
- به عقب
- بازگشت پایان
- تصویر پس زمینه
- BE
- زیرا
- قبل از
- میان
- بیت
- مرز
- پایین
- سرما خوردگی
- اشکال
- اشکالات
- کسب و کار
- by
- CAN
- ماشین
- مورد
- مرکز
- تغییر دادن
- واضح
- بسته
- ابر
- رمز
- رنگ
- شرکت
- شرکت
- در نظر گرفته
- تماس
- کنترل
- میتوانست
- پوشش
- مجوزها و اعتبارات
- رمزنگاری
- رمزنگاری
- مشتری
- مشتریان
- cve
- مجرمان سایبری
- امنیت سایبری
- چرخه
- خطرناک
- داده ها
- مصمم
- با وجود
- جزئیات
- مشخص کردن
- مشخص
- دستگاه
- دستگاه ها
- DID
- مستقیما
- کشف
- نمایش دادن
- عمل
- آیا
- توسط
- درب
- پایین
- هر
- اکوسیستم
- تلاش
- دیگر
- پست الکترونیک
- کافی
- به طور کامل
- حتی
- هر کس
- مدرک
- جز
- مبادلات
- مبادله
- شکل
- پیدا کردن
- پیدا کردن
- رفع
- معایب
- پیروی
- برای
- از جانب
- گاراژ
- دریافت کنید
- دادن
- داده
- رفتن
- خوب
- هک
- هک
- دستگیره
- دست ها
- آیا
- ارتفاع
- کمک
- اینجا کلیک نمایید
- صفحه اصلی
- در تردید بودن
- چگونه
- چگونه
- HTTPS
- i
- ID
- in
- مشمول
- شامل
- از جمله
- شامل
- شالوده
- اول
- قصد
- تعامل
- اثر متقابل
- به هم پیوسته
- اینترنت اشیا
- موضوع
- IT
- ITS
- ژانویه
- JPG
- کلید
- کلید
- دانستن
- دانا
- یاد گرفتن
- ترک
- پسندیدن
- ذکر شده
- زنده
- مطالب
- حاشیه
- حداکثر عرض
- پیام
- پیام
- لحظه
- مانیتور
- بیش
- نام
- تحت عنوان
- نیاز
- شبکه
- داده های شبکه
- ترافیک شبکه
- بعد
- طبیعی
- عدد
- تعداد
- of
- رسما
- قدیمی
- on
- ONE
- باز کن
- باز
- افتتاح
- عملیاتی
- فرصت
- دیگر
- خود
- کلمه عبور
- کلمه عبور
- پچ های
- پل
- شاید
- تلفن
- فیزیکی
- برنامه
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- نقطه
- موقعیت
- ممکن
- پست ها
- قدرت
- دقیق
- دقیقا
- در حال حاضر
- خلوت
- شاید
- مشکلات
- محصول
- برنامهریزی شده
- برنامهنویس
- برنامه نويسي
- ویژگی
- حفاظت
- ثابت كردن
- ارائه
- ارائه
- ارائه
- عمومی
- کلید عمومی
- عمومی
- منتشر کردن
- منتشر شده
- قرار می دهد
- محدوده
- آمادگی
- معقول
- بهبود یافتن
- ثبت نام
- تکرار
- گزارش
- درخواست
- تحقیق
- پژوهشگر
- محققان
- نشان داد
- s
- سام
- همان
- تیم امنیت لاتاری
- به نظر می رسد
- فروش
- جدی
- خدمت
- سرور
- سرویس
- جلسه
- قابل توجه
- وضعیت
- کوچک
- هوشمند
- جاسوس
- So
- جامد
- برخی از
- کسی
- صدا
- خرج کردن
- می ایستد
- شروع
- رشته
- چنین
- SVG
- سیستم
- گرفتن
- امنیت را در نظر بگیرید
- قوانین و مقررات
- که
- La
- شان
- آنها
- خودشان
- اینها
- چیز
- سه
- TIE
- زمان
- به
- امروز
- نشانه
- بالا
- ترافیک
- انتقال
- شفاف
- درست
- دور زدن
- توییتر
- منحصر به فرد
- منحصر به فرد
- آشکار شدن
- URL
- استفاده کنید
- کاربران
- فروشنده
- از طريق
- تصویری
- صبر کنيد
- هشدار
- مسیر..
- خوب
- چی
- که
- در حین
- WHO
- وسیع
- عرض
- اراده
- مایل
- با اراده
- با
- بدون
- کلمه
- خواهد بود
- شما
- شما
- زفیرنت