اكتشف الباحثون عددًا من العيوب الخطيرة في أجهزة تتبع إنترنت الأشياء المرتبطة بالأجهزة المحمولة.
كشف فريق من الباحثين من Rapid7 عن عدد من الثغرات الأمنية الخطيرة الموجودة في إنترنت الأشياء (IoT) والأجهزة المنزلية المتصلة.
المنتجات المعنية هي تراك آر برافو من TrackR، وهو جهاز تعقب خفيف الوزن بحجم العملة المعدنية يستخدم تقنية Bluetooth وGPS لمساعدتك في تعقب العناصر المفقودة مثل المفاتيح، iTrack سهل من KKMCM و تعقب الجوز من Zizai التقنية.
وفي حين أن هذه الأجهزة متوافقة مع أنظمة تشغيل الهواتف المحمولة iOS من Apple وAndroid من Google، فقد تم العثور على الأخطاء في إصدارات التطبيقات المناسبة لأجهزة iPad وiPhone.
سريع7 قال يوم الثلاثاء يحتوي جهاز TrackR Bravo على أربع مشكلات أمنية مهمة. عند التشغيل على جهاز iPad، يقوم تطبيق الهاتف المحمول TrackR Bravo بتخزين كلمة مرور الحساب المستخدمة للمصادقة على السحابة APUI بنص واضح، ولجعل الأمور أسوأ، يسمح التطبيق أيضًا بالوصول غير المصادق إلى بيانات GPS، سواء تم الاستعلام عنها أو مرسل.
يمكن للمهاجمين الخبيثة الوصول إلى هذه البيانات من أي متصفح ويب دون بيانات اعتماد المستخدم.
لاحظ الباحثون: "يبدو أن المصادقة تُستخدم فقط لمزامنة البيانات مرة أخرى مع تطبيق الهاتف المحمول الخاص بك أثناء تثبيت/إعادة تثبيت التطبيق".
بالإضافة إلى ذلك، يتم الكشف عن معرف تتبع الجهاز ويمكن الحصول عليه من خلال البلوتوث إذا كان المهاجم كذلك بالقرب منك، وبما أن جهاز TrackR Bravo يسمح بالاقتران غير المصادق عليه، يمكن للمهاجمين الارتباط بالجهاز لتعديله بيانات.
هناك خمس مشكلات أمنية جديرة بالملاحظة تتعلق بـ iTrack Easy. يمكن انتزاع معرف تتبع الجهاز دون إذن عندما يكون على مقربة من iTrack عبر البلوتوث، ويمكن تسجيل الجهاز ضمن حسابات مستخدمين متعددة بشكل غير صحيح -- والذي يسمح بعد ذلك للمهاجمين بالوصول إلى بيانات نظام تحديد المواقع العالمي (GPS) عندما تكون الأجهزة قريبة من بعضها البعض لتتبع المستخدمين - ويمكن تعديل هذه المعلومات دون مصادقة الفحوصات.
الجهاز لديه أيضًا مشكلة في إدارة الجلسة. لا يتم استخدام ملفات تعريف الارتباط الخاصة بالجلسة للحفاظ على جلسات مستخدم صالحة، وإذا تم التقاط هذه البيانات من خلال هجوم Man-in-The-Middle (MiTM)، فيمكن استخدامها لاختراق حساب المستخدم.
بالإضافة إلى ذلك، يتم تشفير وتخزين كلمات مرور الحساب المستخدمة للمصادقة على السحابة بشكل سيئ.
تم اكتشاف أن جهاز تعقب Nut الخاص بـ Zizai Tech يحتوي على ثلاثة عيوب أمنية. السبب الأول، الموجود في تطبيق Nut iPad للهاتف المحمول، يرجع إلى حقيقة أن التطبيق يخزن كلمات مرور الحساب بنص واضح.
المشكلة الثانية هي الثغرة الأمنية التي تسمح بتسريب الرموز المميزة للجلسة بسبب الاتصال بين الويب والتطبيق الذي يحدث عبر نفق غير آمن وغير معتمد على طبقة المقابس الآمنة (SSL). يمكن للمهاجمين استخدام هذا الخلل لشن هجوم MiTM لالتقاط هذه البيانات والحصول على حق الوصول الكامل إلى حسابات المستخدمين.
الخطأ الأخير هو مشكلة سببها تطبيق Nut الذي يسمح لأجهزة Bluetooth غير المصادق عليها بكتابة سمات اسم الجهاز. يسمح هذا بتغيير اسم الجهاز بواسطة أشخاص آخرين غير المستخدمين المسجلين.
شركة البلاط البلاط تم أيضًا فحص أداة التتبع، ولكنها كانت خالية من أي مشكلات أمنية كبيرة باستثناء مشكلة التخزين المؤقت للشاشة التي يعتبرها الباحثون "بسيطة".
لم يتم بعد تخصيص أرقام CVE للمشكلات الأمنية التي تم الكشف عنها.
قد تكون أجهزة التتبع هذه عبارة عن أجهزة إنترنت أشياء صغيرة وغير ضارة، ولكن الخطر على الأمان ككل يمثل مشكلة يجب على البائعين أخذها على محمل الجد. كما الحالة الأخيرة من وقد أظهرت الروبوتات ميراييمكن استغلال أصغر أجهزة إنترنت الأشياء من خلال نقاط الضعف للقضاء على أهداف أكبر بكثير.
كيفية إنشاء منزل ذكي ومتصل دون إنفاق ثروة
حماية
- 8 عادات للعاملين عن بعد الآمنين للغاية
- كيفية العثور على برامج التجسس وإزالتها من هاتفك
- أفضل خدمات VPN: كيف يمكن مقارنة أفضل 5 خدمات؟
- كيفية معرفة ما إذا كنت متورطًا في عملية اختراق للبيانات - وماذا تفعل بعد ذلك