مشکل کشف شده در زنجیرهی تامین اینترنت اشیا، میلیونها دوربین را تحت تاثیر قرار داده است.
به گزارش گرداب، کارشناسان امنیتی از آسیبپذیر بودن زنجیرهی تامین اینترنت اشیا (IoT) که ممکن است میلیونها دوربین را که در سراسر جهان به هم متصل هستند تحت تاثیر قرار دهد، خبر میدهند.
این آسیبپذیری باعث میشود تا مهاجمان، استریمهای ویدیویی را تحت کنترل خود درآورند. Nazomi Networks این مشکل را در یک بخش از نرمافزار محبوب ThroughTek پیدا کرد که OEMها از آن در تولید دوربینهای IP، دوربینهای نظارت کننده روی نوزاد و حیوانات خانگی، دستگاههای رباتیک و نیازمند به باتری، استفاده میکنند.
خود این مشکل در P۲P SDK تولید شده توسط شرکت دیده میشود. در این حالت، P۲P به عملکردی گفته میشود که به مشتری این امکان را میدهد تا با اینترنت و از طریق تلفن همراه یا رایانه به ویدیوها یا اصواتی که توسط دوربین ضبط شدهاند، دسترسی داشته باشد. Nazomi Networks ادعا میکند که پروتکل مورد استفاده برای انتقال دادهها فاقد ایمنی لازم است.
این یعنی مهاجمان میتوانند به آن نفوذ کرده و فایلهای صوتی و تصویری را بازبینی کنند. یا به زبان سادهتر، آنها میتوانند از دیگران جاسوسی انجام دهند. CISA روز ۱۵ ژوئن، یک هشدار امنیتی در رابطه با P۲P SDK در ThroughTek داد و به CVSS آن نمرهی ۹.۱ داد. طبق توصیهها، این مشکل برای نسخههای ۳.۱.۵ و قدیمیتر، نسخههای SDK دارای nossl tag و سیستمعامل دستگاههایی که از Authkey برای اتصال IOTC استفاده نمیکنند یا از ماژول AVAPI بدون فعال کردن DTLS استفاده میکنند و یا از ماژول RDT یا P۲PTunnel استفاده میکنند، دیده میشود.
ThroughTek مقصر را توسعهدهندگانی میداند که به درستی SDK آن را اجرا نکردهاند یا به موقع بهروزرسانی را دریافت نکردهاند. گفته شده که نسخهی ۳.۳ آن در اواسط سال ۲۰۲۰ برای رفع این مشکل منتشر شده و از همهی کاربران خواسته شده تا نسخهی SDK استفاده شده در محصولات آنها را بهروزرسانی کنند. در صورت رفع نشدن این مشکل، افراد به طور غیرمجاز میتوانند فایلهای ویدیویی و صوتی را شنود کنند و دستگاه را به کنترل خود درآورند.
این موضوع کاربران IoT و کاربران دیگر دستگاهها را نگران کرده است، چون زنجیرهی تامین پیچیدهای با دخالت اشخاص ثالث دارند. در سال ۲۰۲۰، آسیبپذیریهای روز صفر (zero-day vulnerabilities) مربوط به یک کتابخانهی نرمافزاری TCP/IP که به طور گسترده مورد استفاده قرار میگرفت، کشف شد که ممکن است صدها میلیون دستگاه IoT را تحت تاثیر قرار داده باشند.
در آوریل سال ۲۰۲۱، محققان چندین مشکل با نام Name: Wreck در نرمافزار محبوب فناوری اطلاعات FreeBSD و انواع مختلف سیستمعاملهای IoT/OT پیدا کردند که تخمین میزنند این مشکل در بیش از صد میلیون دستگاه وجود داشته باشد.