پژوهشهای شرکت اچپی نشان داد: سطح پائین امنیت در ساعتهای هوشمند
نمایش خبر
تاریخ : 1394/5/15 نویسنده: مریم رشنو | ||
برچسبها : | ساعت هوشمند Smartwatch ، امنیت Security ، پوشیدنی Wearable ، اچ پی HP |
واحد خبر mobile.ir : شرکت اچپی در گزارشی به کاربران محصولات پوشیدنی هوشمند، در خصوص حفرههای امنیتی موجود در ساعتهای هوشمند هشدار داده است.
پژوهشگران کمپانی اچپی در پژوهشی که اخیرا انجام دادهاند، حفرههای امنیتی قابل توجهی را در ساعتهای هوشمند برندهای برتر یافتهاند که ریسک کاربرد این ابزارها را افزایش میدهد. البته اچپی ترجیح داده است که نامی از این ساعتهای هوشمند نبرد و صرفا به اعلام نتایج پژوهش خویش بپردازد.
ساعتهای هوشمند بخشی از ابزارهای پوشیدنی به شمار میآیند که مجموعهای گسترده از تجهیزات طبی تا ابزارهای ورزشی را در بر میگیرند و گاهی نیز به عنوان بخشی پیوسته با یک گوشی هوشمند عمل میکنند. ساعت هوشمند اپل و ساعتهای مبتنی بر سیستمعامل اندروید وِر (Android Wear) نمونههایی از ابزارهای پوشیدنی مشهور در بازار هستند که میتوانند در کنار اسمارتفونها این امکان را برای کاربر ایجاد نمایند که اعلانات (notification) را به صورت آنلاین ببیند، پیام ارسال کند و اپهای گوناگون را از طریق صفحهنمایش کوچک ساعت یا امکانات صوتی آن کنترل نماید. به علاوه ابزارهای پوشیدنی با ارائه ایده اینترنت اشیاء (IoT) در بازار محبوبیت بیشتری پیدا کردهاند.
در عین حال، با افزایش نرخ استفاده از ساعتهای هوشمند و گسترش کاربری آنها در اقشار متفاوت، مجرمان سایبری نیز شیوهای جدید را یافتهاند که از طریق آن به دستگاه کاربران نفوذ و اطلاعات با ارزش آنها را سرقت کنند.
مطابق گزارش شرکت اچپی که در روز چهارشنبه 22 جولای (31 تیر) منتشر شده است، علیرغم رشد چشمگیر بازار فناوریهای پوشیدنی، به طور کلی از وجوه امنیتی آنها غفلت شده است. این پژوهش با استفاده از متدولوژی آزمون اینترنت اشیاء Fortify on Demand انجام شده و در آن با ترکیب تستهای هوشمند دستی و به کارگیری ابزارهای دیجیتال، 10 نمونه از برندهای برتر ساعت هوشمند در بازار همراه با سرویسهای ابری و برنامههای موبایل مبتنی بر سیستم عاملهای اندروید و iOS که با این ساعتهای هوشمند در ارتباطند مورد ارزیابی قرار گرفتهاند.
Fortify سرویسی از سوی شرکت اچپی است که برای ارائه خدمات ارزیابی امنیت اپلیکیشنها و محصولات به مشتریان این شرکت به کار گرفته شده و تحقیق اخیر به طور عمده بر نتایج حاصل از آن استوار بوده است. به گفته اچپی، نتایج حاصل از این ارزیابی «ناامیدکننده بودهاند اما در عین حال چندان شگفتآور نیستند». پژوهشگران این غول نرمافزاری دریافتند که هر کدام از ساعتهای هوشمند مورد بررسی دچار ضعفهای امنیتی جدی از قبیل ضعف در زمینه تایید هویت (authentication)، عدم رمزنگاری (encryption) و مشکلاتی در خصوص عدم حفاظت از حریم خصوصی کاربران هستند.
تمامی اسمارتواچهای مورد بررسی قرارگرفته با اینترفیسی جفت میشوند که فاقد مکانیزم تشخیص هویت دو مرحلهای بوده یا اینکه ناتوان از قفل کردن اکانت پس از چندین بار اشتباه وارد کردن رمز عبور است. در مجموع 30 درصد دیوایسهای مورد بررسی قرار گرفته در مقابل Account Harvesting (ربودن اطلاعات اکانت) به یکی از این روشها آسیبپذیرند.
به علاوه، مح ققان اچپی در پژوهشهای خود دریافتند که ساعتهای هوشمند موجود در بازار، دارای ضعفی جدی در زمینه رمزنگاری در پروتکلهای انتقال داده هستند. هر چند تمام 10 نمونه مورد بررسی برای رمزنگاری از پروتکل SSL/TLS استفاده میکردند اما 40 درصد آنها در زمینه امنیت به طور مثال در زمینه حملههای POODLE آسیبپذیر بودند و یا هنوز از SSL نسخه دو استفاده میکردند.
در مجموع، 30 درصد ساعتهای هوشمند از رابطهای کاربری ابری (cloud-based) استفاده میکنند که به گفته پژوهشگران اچپی نگرانیهایی را در خصوص شیوه دسترسی به حسابهای کاربری افراد ایجاد میکند. به علاوه، محققان طی آزمون جداگانهای اعلام کردهاند که این تنظیمات هکرها را قادر میسازد که از طریق سرویسهای تنظیم مجدد پسورد، اطلاعات مرتبط با نام کاربری و کلمه عبور کاربران معتبر را شناسایی کنند.
علاوه بر این، مشخص شده است که 70 درصد این ابزارها مشکلاتی در زمینه بروزرسانی نرمافزار و ثابتافزار (firmware) دارند. ساعتهای هوشمند مورد بررسی غالبا آپدیتهای رمزنگاریشده firmware را دریافت نمیکنند؛ این در حالی است که تعدادی از آپدیتها به منظور جلوگیری از نصب کدهای آلوده منتشر میشود و نبود رمزنگاری موثر باعث میشود که فایلهای آلوده در سطح ابزارها پراکنده شوند و توسط کاربران دانلود شده و مورد استفاده قرار گیرد.
در نهایت اچپی اعلام کرده است که تمام ساعتهای هوشمند مورد بررسی در زمینه حریم شخصی کاربران آسیبپذیر هستند و از آنجا که اطلاعات شخصی کاربران مانند نام، نشانی و اطلاعات تماس و همین طور اطلاعات مربوط به سلامتی فرد در ساعتهای هوشمند ثبت میشود، کوچکترین سهلانگاری در زمینه مسائل امنیتی، برای کاربر ریسک ایجاد میکند و ممکن است اطلاعات شخصی او را در اختیار دیگران قرار دهد.
بنا به گفته جیسون اشمیت (Jason Schmitt) مدیر کل امنیت اچپی در بخش Fortify «امروزه ساعتهای هوشمند در ابتدای مسیر برای تبدیل شدن به بخشی از زندگی ما قرار دارند؛ اما در عین حال، با ارائه سطح جدیدی از امکانات و قابلیتها، به طور بالقوه میتوانند درها را برای تهدیدات جدید در زمینه اطلاعات و فعالیتهای حساس باز کنند.» او در ادامه میافزاید که با افزایش به کار گیری ساعتهای هوشمند، فرصتی جدید برای افراد سوءاستفادهگر فراهم میشود و از این رو باید اقدامات احتیاطی را هنگام انتقال اطلاعات شخصی یا اتصال ساعت هوشمند به شبکههای عمومی و مشترک مد نظر داشت.
بر اساس این یافتهها، اچپی به کاربران ساعتهای هوشمند توصیه میکند تا زمانی که تولیدکنندگانِ این قبیل ابزارها امنیت محصولات تولیدی را بهبود ندادهاند، کاربران باید به امنیت ابزار هوشمند خود توجه ویژهای داشته باشند و میزان اطلاعات شخصی موجود و یا وارد شده در این تجهیزات را محدود نمایند. به علاوه باید کلمات عبور قوی برای دستگاه خود انتخاب نمایند و در صورت امکان از شناسایی دومرحلهای نیز استفاده کنند.
در نهایت، این تحقیق پیشبینی کرده است که ساعتهای هوشمند میتوانند به عنوان روشی برای کنترل ارتباطات و مدیریت امور روزانه در نهایت جایگزین گوشیهای هوشمند شوند. به گفته اچپی، نرخ سریع رشد ابزارهای پوشیدنی باعث تسریع روندی میشود که امکان سوء استفاده را در اختیار هکرها و مجرمان سایبری قرار میدهد.
- معرفی Realme GT7 Pro با بدنه IP69، باتری 6,500mAh و پردازنده Snapdragon 8 Elite
- گزارش مالی اپل از سهماهه منتهی به سپتامبر 2024 – رکورد درآمد، کاهش اجباری سود!
- گزارش مالی سامسونگ از سهماهه سوم 2024 – افت سود 40 درصدی در بخش نیمهرسانا
- گزارش مالی مایکروسافت از سهماهه منتهی به سپتامبر 2024 – کاهش فروش Xbox، درآمدزایی سایر بخشها
- معرفی OnePlus 13 با بدنه IP69، باتری 6,000mAh و پردازنده Snapdragon 8 Elite
- معرفی iQOO 13 با پردازنده Snapdragon 8 Elite، باتری 6,150mAh و عقبگرد در دوربینها!
- گزارش مالی آلفابت از سهماهه سوم 2024 – عملکرد فوقالعاده، افزایش درآمد همه بخشها