پلتفرم SmartThings سامسونگ دارای مشکل امنیتی جدی است
موبنا -محققان دانشگاه میشیگان مشکلاتی را در پلتفرم SmartThings سامسونگ کشف کردهاند که به اپلیکیشنهای مخرب اجازه میدهد قفلهای هوشمند دربها را باز کنند، کد دسترسی به خانه را تنظیم کنند، هشدارهای مرتبط با دود را غیرفعال کنند یا دستگاهها را در حالت خواب قرار دهند و موارد دیگری از این قبیل. البته برای انجام چنین کارهایی کاربر ابتدا باید اپلیکیشن مخرب را از فروشگاه SmartApps دانلود و نصب کرده یا بر روی لینک مخرب کلیک کند.
این محققان اعلام کردهاند که چندین مشکل در فریمورک SmartThings وجود دارد، اما مهمترین ایراد، ارائهی دسترسیهای زیاد به اپلیکیشنها است؛ در حالیکه این اپها نیازی به بیشتر این دسترسیها ندارند. به عنوان مثال یک قفل هوشمند احتمالا فقط نیاز دارد تا قابلیت قفل کردن از راه دور خود را داشته باشد؛ اما API های کنونی SmartThings این دستور را با مجموعهی دیگری از فرامین به صورت یکجا ارائه میدهد که همین موضوع به هکرها اجازه میدهد تا بتوانند حملات فیزیکی را نیز انجام دهند. دسترسیهای اضافه دیگر شامل روشهای اتصال اپلیکیشنهای این پلتفرم به دستگاهها میشود. هنگامیکه کاربری یک SmartApp را نصب میکند، از وی درخواست میشود تا دسترسی لازم را برای کارکرد اپلیکیشن صادر کند. پس از نصب اپ مورد نظر، به دلیل قابلیت SmartThings برای همگامسازی دسترسیها، این پلتفرم لیستی از دستگاههای قابل استفاده با اپلیکیشن را ایجاد میکند؛ علاوه بر این باعث میشود تا دسترسی بیشتری از آنچه که اپ نیاز دارد به آن داده شود.
برای مشخص شدن موضوع، محققان از یک اپلیکیشن نمونه را که کار آن نظارت بر مصرف باتری در دستگاههای مختلف است، استفاده کردند. اگر کاربر اجازهی لازم را برای نصب اپلیکیشن مخرب که بهنظر اپلیکیشن سالمی است بدهد، اپ یاد شده میتواند به قفلهای هوشمند دسترسی یابد و سپس محققان نه تنها قادر به نظارت بر باتری خواهند بود، بلکه میتوانند به دیگر ویژگیهای دستگاهها نیز دسترسی داشته باشند که از جملهی این دسترسیها میتوان به باز کردن قفل درب اشاره کرد. این محققان دریافتند که ۴۲ درصد از ۴۹۹ اپلیکیشن فروشگاه SmartApp به همین طریق دسترسی بیشتری از آنچه که واقعا نیاز است را در اختیار دارند.
برای اثبات وجود این مشکل، محققان همچنین با استفاده از دسترسیهای اضافهی صادر شده برای اپلیکیشنها، توانستند پینکد مورد نظر خود را برای یک قفل هوشمند تنظیم کنند که این کار به آنها اجازه میدهد یک راه بازگشت (Back-door) امن ایجاد کنند.
البته برای چنین کاری نیاز است تا کاربر تعامل خاصی را انجام دهد؛ اما محققان نشان دادند که بسیاری از مردم بدون اینکه توجهی به دسترسیها داشته باشند یا حتی آنها را بخوانند، مجوز لازم را برای اپلیکیشنهای پلتفرم SmartThings صادر میکنند. این محققان از ۲۲ نفر از کاربران پلتفرم یاد شده نظرسنجی به عمل آوردند. ۹۱ درصد از این افراد گفتهاند که به اپلیکیشن نظارت بر باتری اجازه میدهند تا به قفل هوشمند آنها نیز دسترسی داشته باشد و در نتیجه دسترسی لازم را برای انجام عملیاتهایی که میتوان با قفل هوشمند انجام داد نیز در اختیار اپ مورد بحث قرار میگیرد. تنها ۱۴ درصد از افراد شرکتکننده در این نظرسنجی این نکته را میدانستند که اپلیکیشن باتری کدهای دسترسی را به یک سرور راه دور ارسال میکند.
این اولین باری نیست که چنین مشکلاتی را در دستگاههای هوشمند متصل به یکدیگر در پلتفرمهای مختلف مشاهده میکنیم. پیش از این و در اوایل سال میلادی جاری، مشکل سیستم امنیتی خانگی Comcast یک هکر را قادر ساخت تا براحتی وارد خانهی مورد نظرش شود. اما مشکلات SmartThings میتوانند در آینده هم باعث ایجاد مسائل امنیتی در کسب و کارهایی شوند که از این پلتفرم استفاده میکنند. حدود دو سال قبل یعنی وقتی که مبحث اینترنت اشیاء تازه مطرح شده بود، سامسونگ SmartThings را خریداری کرد. حالا شاهد این هستیم که تقریبا هر چیزی به اینترنت متصل میشود.
SmartThings در ایمیلی که در مورد این مشکلات امنیتی به وبسایت The Verge ارسال کرده، بیان داشته که روش جلوگیری از بروز این مشکلات و نحوهی امن نگهداشتن کدهای منبع، به صورت یک بروزرسانی در بخش اسناد مرتبط با توسعهدهندگان ارائه شده است.
یکی از نمایندگان پلفترم SmartThings در این رابطه میگوید: «این آسیبپذیریهای بالقوه در گزارش، بر اساس دو سناریو نشان داده شدهاند. اولین سناریو، نصب یک SmartApp مخرب و دومین آن، عدم توانایی توسعهدهندگان در دنبال کردن و استفاده از راهنمای ارائه شده SmartThings در بخش روشهای امن نگه داشتن سورسکدها است.» وی در ادامه اینگونه بیان داشته: «با منتشر شدن این گزارش، ما پلفترم مورد اشاره را بروزرسانی کردیم تا راهنمای ایجاد امنیت بیشتر را به توسعهدهندگان ارائه کنیم.»
این غول کرهای همچنین اعلام کرده که بخش بازبینی اپلیکیشنها نیز باعث میشود تا اپلیکیشنهای مخرب پیش از اینکه مشکلی ایجاد کنند شناسایی و متوقف شوند. با اینحال تیم تحقیق دانشگاه میشیگان هنوز هم این تلاشها را کافی نمیداند.
این محققان در ادامه اینگونه بیان داشتهاند: «دستگاههای هوشمند خانگی و پلتفرمهایی که برای برنامهنویسی آنها مورد استفاده قرار میگیرند در حال گسترش هستند و روز به روز بیشتر مورد توجه افراد قرار میگیرند؛ چراکه قابلیتهای کاربری بسیار خوبی را ارائه میدهند. در هر حال بر اساس یافتههای مورد اشاره، باز هم بهتر است احتیاط لازم رعایت شود؛ چه از جانب طراحان فریمورک و چه از جانب افراد مصرفکننده. این مشکلات امنیتی مشخص هستند و بعید به نظر میرسد به آسانی و تنها با ارائه وصلههای امنیتی بتوان نسبت به رفع آنها اقدام کرد.
منبع: زومیت|نویسنده: مجتبی بوالحسنی
واقعا سایت خیلی مفیدی دارید….
ممنون…