شرکت امنیتی Pen Test Partners میگوید نقص مهمی در طراحی نسل چهارم دستگاههای جدید امنیت خانگی شرکت شلی میتواند میلیونها خانه در اروپا را در معرض حمله قرار دهد.
پژوهشگران امنیتی در یک شرکت مشاوره امنیت سایبری میگویند در محصولات خانه هوشمند شرکت شلی، که یک تامینکننده اروپایی سامانههای امنیت خانگی است، یک آسیبپذیری مهم پیدا کردهاند.
در حال حاضر از محصولات شلی در بیش از ۵٫۲ میلیون خانه در اروپا استفاده میشود. شرکت پن تست پارتنرز مدعی است این مشکل طراحی یک «درِ پشتی» نامرئی به درون خانههای شخصی باز میکند که بیشتر کاربران هرگز متوجه آن نمیشوند.
به گفته پن تست پارتنرز، دستگاههای جدید نسل چهار خانه هوشمند شلی نقطهدسترسی بیسیم بازی را که برای پیکربندی اولیه لازم است به طور دائمی روشن نگه میدارند، حتی بعد از آن که به درستی به شبکه وایفای خانگی وصل شده باشند. به این ترتیب یک شبکه پنهان مدتها پس از پایان تنظیمات، بدون آگاهی یا رضایت کاربر در پسزمینه فعال میماند.
در مقابل، مدلهای قبلی این شرکت پس از اتصال دستگاه به شبکه وایفای خانگی این نقطهدسترسی را به طور خودکار خاموش میکردند.
این نقص میتواند به هر فردی که بیرون یک خانه شخصی ایستاده اجازه دهد از شبکه وایفای ساکنان برای باز کردن درِ اصلی، درِ پارکینگ یا درِ حیاط استفاده کند و در نتیجه خطر واقعی سرقت و ورود غیرمجاز به خانه را ایجاد کند.
با این حال مشکل بسیار عمیقتر از این است. بررسی گستردهتری که پن تست پارتنرز انجام داده نشان میدهد این موضوع چیزی بیش از یک ایراد ساده طراحی است.
آسیبپذیری موجود در نسل چهار به این معنا است که تنها یک دستگاه آلوده میتواند به سکویی برای دسترسی به تقریبا تمام دستگاههای خانه هوشمند تبدیل شود، فارغ از این که آن دستگاهها از محصولات شلی باشند یا نه.
از آن جا که در بسیاری از خانههای هوشمند در سراسر اروپا هنوز شبکههایی با نسلهای مختلف دستگاهها، چه شلی و چه تولیدکنندگان دیگر، در کنار هم کار میکنند، این وضع میتواند به کمبود جدی محافظت، هم در فضای آنلاین و هم در دنیای واقعی، منجر شود.
هنوز اقدام اصلاحی انجام نشده است
پن تست پارتنرز اعلام کرده این شکاف امنیتی را به اطلاع شلی رسانده و این شرکت گفته است نسخه ۱٫۸٫۰ سفتافزار، یعنی مجموعهای از بهروزرسانیهای دستگاه، این نقص را برطرف خواهد کرد.
در نتیجه کاربران مجبور شدهاند خودشان به طور دستی این نقاط دسترسی را غیرفعال کنند؛ کاری که بسیاری از مالکان خانه شاید اصلا ندانند لازم است انجام دهند.
کن مونرو، بنیانگذار پن تست پارتنرز، به یورونیوز نکست گفت: «آنها باید یک کارزار ارتباطی بزرگ راه بیندازند و توضیح دهند که یک نقطهدسترسی باز گذاشته شده و نشان دهند چطور میتوان آن را غیرفعال کرد. این کار را نکردهاند چون احتمالا بر اعتبارشان اثر میگذارد.»
شلی به یورونیوز نکست گفته است کاربرانی که از طریق اپلیکیشن موبایل و طبق روشهای رسمی دستگاه را راهاندازی میکنند، نقطهدسترسی برایشان به طور خودکار غیرفعال میشود.
کاربرانی که پیکربندی دستی را انتخاب میکنند، هشدارهایی برای ایمن کردن نقطهدسترسی دریافت میکنند. در بهروزرسانی بعدی سفتافزار، نقاط دسترسی پس از یک بازه زمانی مشخص به طور خودکار غیرفعال خواهند شد.
یک سخنگوی شلی به یورونیوز نکست گفت: «میخواهیم تاکید کنیم که تمام روندهای پیکربندی و داراییهای دیجیتال در اکوسیستم شلی، از جمله اپلیکیشن موبایل و رابط وبکلود ما، راهنمایی روشنی برای ایمنسازی دستگاهها در اختیار کاربران قرار میدهد.»
این سخنگو افزود: «هر انتخابی در زمینه پیکربندی که خارج از این روندهای توصیهشده انجام شود، از جمله باز گذاشتن نقطهدسترسی بدون حفاظت، در نهایت به ترجیح کاربر برمیگردد و خارج از حوزه کنترل مستقیم پلتفرم است.
این سخنگو همچنین گفت: «همانند هر دستگاه متصل دیگری، کاربران آزادند سختافزار خود را مطابق نیازشان پیکربندی کنند و ما به طور فعال آنها را تشویق میکنیم که توصیههای امنیتی ارائهشده در زمان نصب را رعایت کنند.»
شلی همچنین تاکید کرده است که در یکی از نسخههای بعدی سفتافزار بهبودی را عرضه خواهد کرد که امکان میدهد نقطهدسترسی پس از یک بازه زمانی از پیش تعیینشده، مگر در صورت نیاز صریح برای پیکربندی یا راهاندازی، به طور خودکار غیرفعال شود.
افزایش آسیبپذیریها در دستگاههای متصل
در چند سال اخیر شمار رو به افزایشی از دستگاههای خانه هوشمند و دیگر تجهیزات متصل به اینترنت به دلیل آسیبپذیریهای جدی به شدت مورد انتقاد قرار گرفتهاند. از جمله این موارد میتوان به زنگهای در رینگ آمازون و دوربینهای امنیتی داهوا اشاره کرد.
کن مونرو توضیح داد: «حوزه تخصص ما دستگاههای متصل است و هر نوع سامانه خانه هوشمند را آزمایش میکنیم.»
او گفت: «مشکلات مشابهی را در اینورترهای خورشیدی دیدهایم و حتی بیش از ۱۰ سال پیش آسیبپذیری مشابهی را در یک خودرو پیدا کردیم.»
نشت داده، به ویژه در مورد دادههای مربوط به الگوی استفاده و رفتار کاربران از این دستگاههای خانه هوشمند، یکی دیگر از نگرانیهای اصلی است.
مونرو گفت: «گاهی متوجه میشویم دادههای مربوط به نحوه استفاده و رفتار افراد به طور تصادفی درز کرده است. سازندگان دستگاههای هوشمند برای بهبود محصولاتشان دادههای مصرف را جمعآوری میکنند و اغلب فراموش میکنند که دادههای فردی میتواند بسیار گویا باشد.»