پژوهش‌های شرکت اچ‌پی نشان داد: سطح پائین امنیت در ساعت‌های هوشمند

نمایش خبر

فهرست اخبار
تاریخ : 1394/5/15        نویسنده: مریم رشنو
برچسب‌ها : ساعت هوشمند Smartwatch ، امنیت Security ، پوشیدنی Wearable ، اچ پی HP

واحد خبر mobile.ir : شرکت اچ‌پی در گزارشی به کاربران محصولات پوشیدنی هوشمند، در خصوص حفره‌های امنیتی موجود در ساعت‌های هوشمند هشدار داده است.

پژوهشگران کمپانی اچ‌پی در پژوهشی که اخیرا انجام داده‌اند، حفره‌های امنیتی قابل توجهی را در ساعت‌های هوشمند برندهای برتر یافته‌اند که ریسک کاربرد این ابزارها را افزایش می‌دهد. البته اچ‌پی ترجیح داده است که نامی از این ساعت‌های هوشمند نبرد و صرفا به اعلام نتایج پژوهش خویش بپردازد.

ساعت‌های هوشمند بخشی از ابزارهای پوشیدنی به شمار می‌آیند که مجموعه‌ای گسترده از تجهیزات طبی تا ابزارهای ورزشی را در بر می‌گیرند و گاهی نیز به عنوان بخشی پیوسته با یک گوشی هوشمند عمل می‌کنند. ساعت‌‌ هوشمند اپل و ساعت‌های مبتنی بر سیستم‌عامل اندروید وِر (Android Wear) نمونه‌هایی از ابزارهای پوشیدنی مشهور در بازار هستند که می‌توانند در کنار اسمارت‌فون‌ها این امکان را برای کاربر ایجاد نمایند که اعلانات (notification) را به صورت آنلاین ببیند، پیام ارسال کند و اپ‌های گوناگون را از طریق صفحه‌نمایش کوچک ساعت یا امکانات صوتی آن کنترل نماید. به علاوه ابزارهای پوشیدنی با ارائه ایده اینترنت اشیاء (IoT) در بازار محبوبیت بیشتری پیدا کرد‌ه‌اند.

در عین حال، با افزایش نرخ استفاده از ساعت‌های هوشمند و گسترش کاربری آنها در اقشار متفاوت، مجرمان سایبری نیز شیوه‌ای جدید را یافته‌اند که از طریق آن به دستگاه کاربران نفوذ و اطلاعات با ارزش آنها را سرقت کنند.

Android Wear Smart Watches

مطابق گزارش شرکت اچ‌پی که در روز چهارشنبه 22 جولای (31 تیر) منتشر شده است، علی‌رغم رشد چشمگیر بازار فناوری‌های پوشیدنی، به طور کلی از وجوه امنیتی آنها غفلت شده است. این پژوهش با استفاده از متدولوژی آزمون اینترنت اشیاء Fortify on Demand انجام شده و در آن با ترکیب تست‌های هوشمند دستی و به کارگیری ابزارهای دیجیتال، 10 نمونه از برندهای برتر ساعت‌‌‌ هوشمند در بازار همراه با سرویس‌های ابری و برنامه‌های موبایل مبتنی بر سیستم عامل‌های اندروید و iOS که با این ساعت‌های هوشمند در ارتباطند مورد ارزیابی قرار گرفته‌اند.

Fortify سرویسی از سوی شرکت اچ‌پی است که برای ارائه خدمات ارزیابی امنیت اپلیکیشن‌ها و محصولات به مشتریان این شرکت به کار گرفته شده و تحقیق اخیر به طور عمده بر نتایج حاصل از آن استوار بوده است. به گفته اچ‌پی، نتایج حاصل از این ارزیابی «ناامیدکننده بود‌ه‌اند اما در عین حال چندان شگفت‌آور نیستند». پژوهشگران این غول نرم‌افزاری دریافتند که هر کدام از ساعت‌های هوشمند مورد بررسی دچار ضعف‌های امنیتی جدی از قبیل ضعف در زمینه تایید هویت (authentication)، عدم رمزنگاری (encryption) و مشکلاتی در خصوص عدم حفاظت از حریم خصوصی کاربران هستند.

تمامی اسمارت‌واچ‌های مورد بررسی قرارگرفته با اینترفیسی جفت می‌شوند که فاقد مکانیزم تشخیص هویت دو مرحله‌ای بوده یا اینکه ناتوان از قفل کردن اکانت پس از چندین بار اشتباه وارد کردن رمز عبور است. در مجموع 30 درصد دیوایس‌های مورد بررسی قرار گرفته در مقابل Account Harvesting (ربودن اطلاعات اکانت) به یکی از این روش‌ها آسیب‌پذیرند.

به علاوه، مح ققان اچ‌پی در پژوهش‌های خود دریافتند که ساعت‌های هوشمند موجود در بازار، دارای ضعفی جدی در زمینه رمزنگاری در پروتکل‌های انتقال داده هستند. هر چند تمام 10 نمونه مورد بررسی برای رمزنگاری از پروتکل SSL/TLS استفاده می‌کردند اما 40 درصد آنها در زمینه امنیت به طور مثال در زمینه حمله‌های POODLE آسیب‌پذیر بودند و یا هنوز از SSL نسخه دو استفاده می‌کردند.

در مجموع، 30 درصد ساعت‌های هوشمند از رابط‌های کاربری ابری (cloud-based) استفاده می‌کنند که به گفته پژوهشگران اچ‌پی نگرانی‌هایی را در خصوص شیوه دسترسی به حساب‌های کاربری افراد ایجاد می‌کند. به علاوه، محققان طی آزمون جداگانه‌ای اعلام کرده‌اند که این تنظیمات هکرها را قادر می‌سازد که از طریق سرویس‌های تنظیم مجدد پسورد، اطلاعات مرتبط با نام کاربری و کلمه عبور کاربران معتبر را شناسایی کنند.

علاوه بر این، مشخص شده است که 70 درصد این ابزارها مشکلاتی در زمینه بروزرسانی نرم‌افزار و ثابت‌افزار (firmware) دارند. ساعت‌های هوشمند مورد بررسی غالبا آپدیت‌های رمزنگاری‌شده firmware را دریافت نمی‌کنند؛ این در حالی است که تعدادی از آپدیت‌ها به منظور جلوگیری از نصب کدهای آلوده منتشر می‌شود و نبود رمز‌نگاری موثر باعث می‌شود که فایل‌های آلوده در سطح ابزارها پراکنده شوند و توسط کاربران دانلود شده و مورد استفاده قرار گیرد.

Apple Watch

در نهایت اچ‌پی اعلام کرده است که تمام ساعت‌های هوشمند مورد بررسی در زمینه حریم شخصی کاربران آسیب‌پذیر هستند و از آنجا که اطلاعات شخصی کاربران مانند نام، نشانی و اطلاعات تماس و همین طور اطلاعات مربوط به سلامتی فرد در ساعت‌های هوشمند ثبت می‌شود، کوچک‌ترین سهل‌انگاری در زمینه مسائل امنیتی، برای کاربر ریسک ایجاد می‌کند و ممکن است اطلاعات شخصی او را در اختیار دیگران قرار دهد.

بنا به گفته جیسون اشمیت (Jason Schmitt) مدیر کل امنیت اچ‌پی در بخش Fortify «امروزه ساعت‌های هوشمند در ابتدای مسیر برای تبدیل شدن به بخشی از زندگی ما قرار دارند؛ اما در عین حال، با ارائه سطح جدیدی از امکانات و قابلیت‌ها، به طور بالقوه می‌توانند درها را برای تهدیدات جدید در زمینه اطلاعات و فعالیت‌های حساس باز کنند.» او در ادامه می‌افزاید که با افزایش به کار گیری ساعت‌های هوشمند، فرصتی جدید برای افراد سوءاستفاده‌گر فراهم می‌شود و از این رو باید اقدامات احتیاطی را هنگام انتقال اطلاعات شخصی یا اتصال ساعت هوشمند به شبکه‌های عمومی و مشترک مد نظر داشت.

بر اساس این یافته‌ها، اچ‌پی به کاربران ساعت‌های هوشمند توصیه می‌کند تا زمانی که تولیدکنندگانِ این قبیل ابزارها امنیت محصولات تولیدی را بهبود نداده‌اند، کاربران باید به امنیت ابزار هوشمند خود توجه ویژه‌ای داشته باشند و میزان اطلاعات شخصی موجود و یا وارد شده در این تجهیزات را محدود نمایند. به علاوه باید کلمات عبور قوی برای دستگاه خود انتخاب نمایند و در صورت امکان از شناسایی دومرحله‌ای نیز استفاده کنند.

در نهایت، این تحقیق پیش‌بینی کرده است که ساعت‌های هوشمند می‌توانند به عنوان روشی برای کنترل ارتباطات و مدیریت امور روزانه در نهایت جایگزین گوشی‌های هوشمند شوند. به گفته اچ‌پی، نرخ سریع رشد ابزارهای پوشیدنی باعث تسریع روندی می‌شود که امکان سوء استفاده را در اختیار هکرها و مجرمان سایبری قرار می‌دهد.

منبع : HP

ایسام