کابوسی دیگر برای حریم خصوصی با API بلوتوث وب

۱۴کنسرسیوم وب گسترده جهانی۱ API بلوتوث وب۲ را اخیراً منتشر کرده که دارای حفره‌های امنیتی است که اگر همین‌طوری رها شوند مهاجم می‌تواند از آن‌ها در جهت انگشت‌نگاری و شناسایی کاربر و نفوذ به تجهیزات IoT استفاده کند.

این‌ها نظر لوکاس اولنیک مشاور در زمینه‌ی امنیت و حریم خصوصی، محقق در دانشگاه کالج لندن و یک کارشناس مدعو W۳C است که به تازگی از او خواسته شده تا پیش‌نویس این API را بررسی کند.

W۳C در کنار شرکت‌های سازنده دستگاه‌های IoT در تلاش است تا API بلوتوث وب را توسعه دهد تا به کاربران در خانه این امکان داده شود تا از طریق دستگاه‌های دارای بلوتوث به وب‌گاه‌ها دسترسی داشته باشند و از یک رایانه یا گوشی هوشمند دارای مرورگر به‌عنوان یک رله استفاده کنند.
این API به یک وب‌گاه این اجازه را می‌دهد تا برای دسترسی به تجهیزات محلی، مجوزهایی را از طریق popup درخواست کند و سپس دستورات را رله کرده و در انتها خروجی‌های دستگاه را مستقیماً از روی دستگاه بخواند.
اعضای W۳C تمامی نیازمندی‌های حریم خصوصی را با پیاده‌سازی مجوزهایی که گفته شد، بررسی کرده‌اند. اما قضیه فرق کرده است و اینک محققان چند مشکل در این API کشف کرده‌اند.

از طریق نام دستگاه اطلاعات نشت پیدا می‌کند: وب‌گاه‌ها یا مهاجمانی که به یک دستگاه دارای بلوتوث دسترسی دارند می‌توانند نام صاحب آن را تشخیص دهند چرا که بسیاری از افراد نام یا نام مستعار خود را بر روی بلوتوث خود می‌گذارند.
نظارت رفتاری: وب‌گاه‌ها یا مهاجمان می‌توانند از عملکرد مشخصی پرس‌وجو کنند مثلاً قابلیت ردیابی ضربان قلب یا سایر جزئیات.
نظارت بر فاصله: وب‌گاه‌ها یا مهاجمان می‌توانند از ویژگی rssi یا txPower در این API سوءاستفاده کرده و فاصله‌ی کاربر با دستگاه دارای بلوتوث را تخمین بزنند. این قابلیت به مهاجم اجازه می‌دهد تا متوجه شود کاربر کی در خانه، کی سرکار و کی خواب است.
ساخت بالقوه‌ی پروفایل: وب‌گاه‌ها، مهاجمان یا تبلیغ‌کنندگان می‌توانند با مشاهده‌ی دستگاه‌هایی که کاربر به اشتراک می‌گذارد، به راحتی استانداردهای زندگی کاربر و مقدار دارایی او را تشخیص بدهند.

اولنیک با استناد به ابزار Metasploit نوشته است: «من انتظار دارم تا چارچوبی تهیه شود تا آزمون، بررسی و تست نفوذ بر روی دستگاه‌های بلوتوث/IoT/WoT دیر یا زود عملیاتی شود. این API بلوتوث وب موانع ورود را برای کابران خرابکار که مهارت فنی زیادی ندارند، کاهش خواهد داد. به زودی هر فردی با یک مرورگر وب قادر خواهد بود یک مهاجم بالقوه باشد و دستگاه‌های اینترنت اشیاء و وب اشیاء۳ را هدف قرار دهد.»

قبلاً نیز اولنیک در خصوص API وضعیت باتری که ارائه خواهد شد، W۳C را مورد انتقاد قرار داده بود و عقیده داشت با استفاده از خروجی‌های API وضعیت باتری می‌توان کاربر را ردیابی و انگشت‌نگاری کرد.
او همچنین به API حسگر نزدیکی نیز انتقاد کرده بود و می‌گفت بسته به اینکه کاربر چگونه دستگاه را روبروی صورت خود قرار می‌دهد، این API می‌تواند کاربر را بر روی وب‌گاه‌های مختلف انگشت‌نگاری و شناسایی کند.

۱. World Wide Web Consortium
۲. Web Bluetooth API
۳. Web of Things

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter