برطرف‌سازی نقص اسباب‌بازی‌هایی که اطلاعات و امنیت کودکان را به خطر می‌اندازند

دستگاه‌های بسیاری همان‌طور که به اینترنت متصل هستند، نه تنها در معرض خطر موارد وابسته به شبکه می‌باشند بلکه برخی از خلاء‌های آشکار، قابلیت‌های سازمان‌ها برای دریافت و درمان گزارشات رخنه را در معرض قرار می‌دهند.
محققان جزئیات یک جفت آسیب‌پذیری در اسباب‌بازی و سکو‌های تأثیرگذار در بچه‌ها را در Rapid۷ فاش کردند. اما کمی پس از هماهنگی بین Rapid۷، سازمان پاسخ‌گو به رخدادهای سایبری و سازندگان اسباب‌بازی Fisher-Pric و hereO فروشندگان مربوطه این دو آسیب‌پذیری را برطرف کردند.
آقای تد بیرسلی، مدیر عامل تحقیقات امنیتی Rapid۷ گفت: «این دو شرکت تفاوت‌های بسیاری دارند؛ Fisher-Price یک نام خانگی است و hereO شروعی است که از یک اهرم برای راه‌اندازی این دستگاه استفاده می‌کند. اما هردوی آن‌ها شبیه هم عمل می‌کنند. ما باید کمی بیشتر تحقیق کنیم تا بتوانیم با آن‌ها ارتباط برقرار کنیم و دوباره درباره‌ی این آسیب‌پذیری‌ها توضیحاتی بدهیم.»
آسیب‌پذیری در خرس‌های اسباب‌بازی هوشمند شرکت Fisher-price و سکوهای GPS شرکت hereO می‌تواند مورد سوءاستفاده قرار گیرد تا اطلاعات شخصی بچه‌ها و به دنبال آن امنیت آن‌ها را به خطر بیاندازد. بازی با احساسات مشتریان همان رخنه‌ای است که محقق مارک استینسلی درAPI های وب‌گاه اسباب‌بازی‌های مربوطه پیدا کرد، به این معنی که تعمیرات را می توان روی طرف مشتریان انجام داد و نیازی به تعمیرات روی نقطه‌ی پایانی نمی‌باشد.
خرس اسباب‌بازی هوشمند Fisher-Price یک حیوان پارچه‌ای ‌است که بچه‌های کوچک با آن بازی می‌کنند؛ براساس اطلاعاتی که در وب‌گاه Fisher-Price آمده است این خرس حرف می‌زند، گوش می‌دهد و می‌شنود. این اسباب‌بازی از طریق وای‌فای به اینترنت وصل می‌شود و به‌روزرسانی می‌گردد و به یک برنامه‌ی کاربردی تلفن همراه نیز وصل می‌شود. استنیسلی فهمید که API وب، تصدیق را به اشتباه به کار می‌برد و به ویژه فرستنده‌ی پیام را بررسی نمی‌کند. وی در توصیه‌نامه‌ای که امروز منتشر شد گفت که یک نفوذگر می‌تواند درخواستی را بفرستد که نباید شناخته شود.
تأثیری که این حمله دارد این است که نفوذگر می‌تواند جزئیات اطلاعات کاربران شامل نمایه‌ی کودکان مانند نام‌ها، تاریخ تولد، جنسیت، زبان و اسباب‌بازی خرید شده را به دست آورد.
Rapid۷ گفت که این اطلاعات می‌تواند آن قدر کافی و به اندازه باشند که طی یک کلاه‌برداری مهندسی اجتماعی کودکان یا والدین را مورد هدف قرار دهد.
سکوی hereO چارچوبی برای ساعتی برای کودکان است که دارای GPS، سیم‌کارت و متصل‌کننده‌ی UPS می‌باشد. والدین به کمک این ساعت‌ها می‌توانند مکان فرزندان خود را بفهمند.Rapid۷ کشف کرد که API وب این وسیله نقصی دارد که به یک مهاجم اجازه می‌دهد که خودش را به یک گروه خانوادگی وارد کند؛ این سکو از پیام‌ها، خصوصیات مکان و هشدارهای اضطراری برای همه‌ی اعضای گروه پشتیبانی می‌کند.
الی شمش مدیرعامل hereO گفت: «این آسیب‌پذیری ۴ ساعت پس از کشف آن برطرف گردید، و بلافاصله تغییر ساعت‌های GPS دار خود را شروع کرده‌ایم، و مهم‌تر از آن ما تأیید می‌کنیم که هیچ‌گونه اطلاعات یا امنیتی از کاربران ما در خطر نمی‌باشد.»
این در دسترس بودن به نفوذگر اجازه می‌دهد که مکان هرکسی را در گروه و فراتر از آن بفهمد.
بیرسلی گفت: «با hereO، یک نفوذگر می‌تواند با موفقیت مکان کودکان را شناسایی کند و اگر این اتفاق بیافتد می‌تواند بسیار وحشتناک باشد. با اسباب‌بازی Fisher-Price یک نفوذگر می‌تواند پایگاه اطلاعاتی از نام کودکان و تاریخ تولد آن‌ها را ایجاد کند که حتی اگر خودشان از آن استفاده نکنند برای نفوذگرهای قدیمی می‌تواند مفید واقع شود. با دانستن نام و تاریخ تولد کودکان، می‌توانید جزئیات اطلاعات راجع به کودکان را به دست آورید که می‌تواند به کلاه‌برداران کمک بسیاری کند. نام و تاریخ تولد کودکان، زمانی که افراد از نام و سال تولد کودکشان برای کلمات عبورشان استفاده می‌کنند، برای سؤال‌های محرمانه و مولدهای گذرواژه در ذهن افراد میسر واقع شود.»
بیرسلی گفت که آسیب‌پذیری دقیق دیگری که در هر دو اسباب‌بازی وجود دارد این است که هر کس حتی بدون خرید اسباب‌بازی می‌تواند یک حساب کاربری را ثبت کند.
وی گفت: «برخی اسباب‌بازی‌‌ها کدی دارند که نشان می‌دهد شما این اسباب‌بازی را خریده‌اید. اما این دسته از اسباب‌بازی این کد را ندارند، بنابراین برای ورود به حساب کاربری هیچ مانعی وجود ندارد. وقتی برای یک بار به وب سر بزنید همه‌ی کاری که باید کنید این است که API وب را بررسی کرده و ببینید چه سؤال‌ها و پاسخ‌هایی وجود دارد.»
ضمناً، هرچقدر که دستگاه‌ها شبکه‌ای شوند، غیرمحتمل است که فکر کنید امنیت می‌تواند از ابتدا برقرار باشد.
بیرسلی گفت: «غیرممکن است که نرم افزاری بنویسید و نقصی در آن وجود نداشته باشد. برخی از این رخنه و نقص‌ها، التزامات امنیتی دارند. مورد مهمی وجود دارد که باید پاسخ داده باشد. نباید تلاش بسیاری صورت گیرد تا بفهمید که چه کسی صحبت می‌کند و چه وقت کاری را انجام دهید، شما نباید تعجب کنید اگر روزی در دادگاهی نام من برده شود. این می‌تواند در هر زمانی نگران کننده باشد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.