ایرادات امنیتی ساعت‌های هوشمند

به گزارش واحد امنیت سایبربان، شرکت hp در این آزمایش، امنیتِ 10 ساعت هوشمند برتر دنیا از قبیل ساعت‌های هوشمند ساخت شرکت‌های Apple و Samsung را ازلحاظ رمزگذاری داده‌ها، محافظت از رمز عبور، مسائل مربوط به حریم خصوصی و ... مورد مطالعه قرار داده است.

بخش تعجب‌آور این آزمایش این بود که تمام این ساعت‌ها از امنیت مورد انتظار فاصله زیادی داشتند.

نتیجه مطالعه و تحقیق شرکت hp در مورد این ساعت‌ها نشان می‌دهد که تمامی ساعت‌های هوشمند حداقل یک ایراد امنیتی بسیار جدی دارند که آنها را در مقابل هکرها آسیب‌پذیر می‌کند.

با گسترش استفاده از ساعت‌های هوشمند، شرکت‌های سازنده باید توجه بیشتری به مسأله امنیت این ابزارهای هوشمند داشته باشند، به دلیل اینکه در صورت عدم توجه به مسأله امنیت ممکن است که اطلاعات خصوصی و حساس کاربران در معرض خطرات جدی قرار بگیرد. حتی در مواردی که اشخاص ساعت‌های هوشمند خود را به شبکه رایانه شرکت خود وصل می‌کنند ممکن است که یک مجموعه بزرگ مانند یک شرکت یا سازمان امنیتی با خطرات جبران‌ناپذیری مواجه شوند.

ازجمله شرکت‌های سازنده تلفن همراه که در این آزمایش مورد استفاده قرار گرفتند می‌توان به شرکت‌های بزرگی همچون Apple، Pebble، Samsung و  Sony اشاره کرد.

در ادامه نتایج آزمایش شرکت hp را می‌بینید:

1-ضعف در رمز‌نگاری داده‌های انتقالی

حدود 40 درصد از این تلفن‌های هوشمند با وجود استفاده از رمزنگاری، هم چنان از رمزنگاری ضعیف استفاده می‌کنند و این امر آنها را در مقابل حملات نوع POODLE آسیب‌پذیر می‌کند. (POODLE حملاتی است که به لایه شبکه صورت می‌پذیرد و حملات به لایه شبکه در اینترنت را می‌توان پرآسیب‌ترین نوع حملات در دنیای امروز رایانه دانست)

2-رابط کاربری ناامن

30 درصد از این ساعت‌ها از رابط کاربری ابر محور (Cloud-based) استفاده می‌کنند که این مسأله باعث می‌شود که اطلاعات نام کاربری و رمز عبور کاربران در معرض سرقت قرار بگیرند. این ایراد امنیتی به هکرها اجازه می‌دهد که به‌صورت بی‌نهایت رمز عبورهای مختلف را تست کنند که همین امر احتمال حدس زدن رمز عبور را برای هکرها افزایش می‌دهد. این در حالی است که امروزه، در ساده‌ترین سیستم‌های امنیتی، درصورتی‌که کاربر نام کاربری و رمز عبور خود را بیش از 5 بار اشتباه وارد کند حساب کاربری او قفل می‌شود.

3-احراز هویت نامناسب

30 درصد از این ساعت‌ها از احراز هویت دو فاکتوره استفاده نمی‌کنند. احراز هویت دو فاکتوره یا 2FA احراز هویتی است که از ترکیب دو احراز هویت استفاده می‌کند. به‌عنوان‌مثال برای دریافت پول از عابربانک کاربر باید یک کارت‌بانکی و رمز عبور داشته باشد. در مثال بانک درواقع کاربر هم از کارت و هم از رمز عبور برای تأیید هویت استفاده کرده است

4- میان‌افزار و نرم‌افزار ناامن

70 درصد از تلفن‌ها دارای مشکل بروز آوری میان‌افزار (Firmware) بودند. این ساعت‌ها بسته‌های بروز آوری رمزنگاری‌شده‌ی میان‌افزار دریافت نمی‌کنند.

5- نگرانی‌های عدم حفاظت از حریم خصوصی

تلفن‌های همراه تست‌شده، دارای خطر امنیتی برای حریم خصوصی و مسائل شخصی کاربران هستند، به دلیل اینکه این تلفن‌های همراه از کاربران خود اطلاعات شخصی از قبیل نام کاربری، آدرس، تاریخ تولد، جنسیت، ضربان قلب، وزن، اطلاعات وضعیت سلامت و ... را درخواست می‌کنند.

در پایان متخصصان امنیتی hp به کاربران این تلفن‌های هوشمند هشدار دادند که تا زمانی که سیستم امنیتی قوی برای این تلفن‌ها ارائه نشده است از اتصال آنها به دستگاه‌های حساس خودداری کنند.