بحران امنیت در اینترنت اشیا

بحران امنیت در اینترنت اشیا
تاریخ انتشار : ۰۶ تير ۱۴۰۰

مشکل کشف شده در زنجیره‌ی تامین اینترنت اشیا، میلیون‌ها دوربین را تحت تاثیر قرار داده است.

به گزارش گرداب، کارشناسان امنیتی از آسیب‌پذیر بودن زنجیره‌ی تامین اینترنت اشیا (IoT) که ممکن است میلیون‌ها دوربین را که در سراسر جهان به هم متصل هستند تحت تاثیر قرار دهد، خبر می‌دهند.

این آسیب‌پذیری باعث می‌شود تا مهاجمان، استریم‌های ویدیویی را تحت کنترل خود درآورند. Nazomi Networks این مشکل را در یک بخش از نرم‌افزار محبوب ThroughTek پیدا کرد که OEM‌ها از آن در تولید دوربین‌های IP، دوربین‌های نظارت کننده روی نوزاد و حیوانات خانگی، دستگاه‌های رباتیک و نیازمند به باتری، استفاده می‌کنند.

خود این مشکل در P۲P SDK تولید شده توسط شرکت دیده می‌شود. در این حالت، P۲P به عملکردی گفته می‌شود که به مشتری این امکان را می‌دهد تا با اینترنت و از طریق تلفن همراه یا رایانه به ویدیو‌ها یا اصواتی که توسط دوربین ضبط شده‌اند، دسترسی داشته باشد. Nazomi Networks ادعا می‌کند که پروتکل مورد استفاده برای انتقال داده‌ها فاقد ایمنی لازم است.

این یعنی مهاجمان می‌توانند به آن نفوذ کرده و فایل‌های صوتی و تصویری را بازبینی کنند. یا به زبان ساده‌تر، آن‌ها می‌توانند از دیگران جاسوسی انجام دهند. CISA روز ۱۵ ژوئن، یک هشدار امنیتی در رابطه با P۲P SDK در ThroughTek داد و به CVSS آن نمره‌ی ۹.۱ داد. طبق توصیه‌ها، این مشکل برای نسخه‌های ۳.۱.۵ و قدیمی‌تر، نسخه‌های SDK دارای nossl tag و سیستم‌عامل دستگاه‌هایی که از Authkey برای اتصال IOTC استفاده نمیکنند یا از ماژول AVAPI بدون فعال کردن DTLS استفاده می‌کنند و یا از ماژول RDT یا P۲PTunnel استفاده می‌کنند، دیده می‌شود.

ThroughTek مقصر را توسعه‌دهندگانی می‌داند که به درستی SDK آن را اجرا نکرده‌اند یا به موقع به‌روزرسانی را دریافت نکرده‌اند. گفته شده که نسخه‌ی ۳.۳ آن در اواسط سال ۲۰۲۰ برای رفع این مشکل منتشر شده و از همه‌ی کاربران خواسته شده تا نسخه‌ی SDK استفاده شده در محصولات آن‌ها را به‌روزرسانی کنند. در صورت رفع نشدن این مشکل، افراد به طور غیرمجاز می‌توانند فایل‌های ویدیویی و صوتی را شنود کنند و دستگاه را به کنترل خود درآورند.

این موضوع کاربران IoT و کاربران دیگر دستگاه‌ها را نگران کرده است، چون زنجیره‌ی تامین پیچیده‌ای با دخالت اشخاص ثالث دارند. در سال ۲۰۲۰، آسیب‌پذیری‌های روز صفر (zero-day vulnerabilities) مربوط به یک کتابخانه‌ی نرم‌افزاری TCP/IP که به طور گسترده مورد استفاده قرار می‌گرفت، کشف شد که ممکن است صد‌ها میلیون دستگاه IoT را تحت تاثیر قرار داده باشند.

در آوریل سال ۲۰۲۱، محققان چندین مشکل با نام Name: Wreck در نرم‌افزار محبوب فناوری اطلاعات FreeBSD و انواع مختلف سیستم‌عامل‌های IoT/OT پیدا کردند که تخمین می‌زنند این مشکل در بیش از صد میلیون دستگاه وجود داشته باشد.