اشکال موجود در یخچال‌های هوشمند سامسونگ و نفوذ به جیمیل کاربران

این دستگاه طراحی‌ شده ‌است تا از طریق اینترنت اطلاعات تقویم جی‌میل را بارگیری کرده و بر روی صفحه‌نمایش، نشان دهد. خلل امنیتی آن‌جایی است که به نفوذگرها امکان‌ می‌دهد بر روی همان شبکه، اطلاعات ورود به حساب کاربری جی‌میل را بدزدند.

محققان امنیتی اشکالی را در یخچال‌های هوشمند شرکت سامسونگ پیدا کردند که ممکن است نفوذگرها از آن برای سرقت اطلاعات ورود به حساب کاربری جیمیل‌ استفاده کنند.

Pen Test Partners این آسیب‌پذیری را که از نوع مرد میانی۱ است را کشف کرده‌ است.

به گزارش تکنــــــــــــــــازدانلود: این آسیب‌پذیری در مدل RF۲۸HMELBSR از یخچال هوشمند از مجموعه‌ی وسایل خانگی هوشمند سامسونگ پیدا شده‌است که از طریق برنامه‌ی خانه هوشمند کنترل می‌شود. درحالی‌که این مدل SSL ‌را پیاده‌سازی می‌کند، اما نمی‌تواند اعتبارگوا‌هی‌های SSL را بررسی کند و بنابراین امکان این حمله را فراهم می‌سازد.

این دستگاه طراحی‌ شده ‌است تا از طریق اینترنت اطلاعات تقویم جی‌میل را بارگیری کرده و بر روی صفحه‌نمایش، نشان دهد. خلل امنیتی آن‌جایی است که به نفوذگرها امکان‌ می‌دهد بر روی همان شبکه، اطلاعات ورود به حساب کاربری جی‌میل را بدزدند.

کن مونرو، یک محقق اینترنتی در Pen Test Partners می‌گوید: «این یخچال هوشمند طراحی شده ‌است تا تقویم گوگل را بر روی صفحه‌نمایش نشان دهد. این دستگاه در ظاهر همان‌کاری را می‌کند که سایر دستگاه‌هایی که تقویم گوگل دارند انجام می‌دهند. یک کاربر تقویم گوگل خود را به‌روزرسانی می‌کند و این تغییرات بر روی همه‌ دستگاه‌هایی که تقویم را نشان می‌دهند دیده می‌شود. درحالی که SSL وجود دارد، اما یخچال نمی‌تواند گواهی آن را اعتبارسنجی کند. بنابراین نفوذگرها سعی می‌کنند به شبکه‌ای که یخچال در آن است دسترسی پیدا کرده (احتمالاً از طریق حمله‌ی نقطه‌ی دسترسی وای‌فای جعلی) و با حمله‌ی مرد میانی اطلاعات ورود به حساب کاربری گوگل را بدزدند.»

این مدل از یخچال هوشمند هنوز در اروپا عرضه نشده‌ است. تیم مشاوره‌ی امنیتی انگلستان، در کنفرانس DEFCON با کمبود وقت نتوانست اطلاعات ارتباطی بین ترمینال یخچال و کارگزار به‌روزرسانی نرم‌افزار را استراق سمع کند. هم‌چنین تلاش برای حمله از نوع سفت‌افزار از طریق به‌روزرسانی سرویس‌گیرنده نیز موفق نبود. اما در نهایت آن‌ها توانستند اشکال امنیتی را در برنامه‌ی نسخه‌ی تلفن همراه ردگیری کنند.

نام یک پرونده‌ی پیداشده در مخزن گواهی‌های امنیتی (KeyStore) در کد برنامه‌ی تلفن همراه نشان‌دهنده‌ی این بود که کد مورد نظر شامل گواهی‌های لازم برای برقراری ارتباط بین برنامه و یخچال است. گواهی به طور صحیح رمزگذاری شده است اما اعتبارنامه‌‌ی گواهی که در برنامه‌ی تلفن‌همراه ذخیره می‌شود در حالت مبهمی است. بنابراین قدم بعدی پیدا کردن گذرواژه و سپس استفاده از داده‌ی‌ گواهی در هنگام تصدیق ورود به یخچال و ارسال فرامین به آن ‌است.

پدرو وندا از Pen Test Partners در این باره افزوده است: «ما می‌خواستیم واحد ترمینال را از یخچال بیرون آورده تا دسترسی فیزیکی به واسط های USB و JTAG داشته‌باشیم، اما زمان کافی نداشتیم. اگرچه در زمان موجود توانستیم یک سری اشکالات امنیتی را شناسایی کنیم. حمله‌ی MiTM به تنهایی برای سرقت اطلاعات ورود به حساب کاربری جی‌میل کافی است.»

این گروه قبلاً و در بهمن‌ماه گذشته توانسته بود کشف کند که فناوری تلویزیون‌های هوشمند شرکت سامسونگ در رمزنگاری صداهای ضبط‌‌ شده در بستر اینترنت دارای اشکال است.

سامسونگ در اطلاعیه‌ای بیان کرده ‌است: «ما می‌دانیم که موفقیتمان در گرو اعتماد مشتریانمان به ما، سرویس‌ها و مجصولات است و بدین جهت درحال بررسی موضوع در اسرع وقت هستیم. محافظت از حریم شخصی مشتریان اولین اولیت است، و هر روز برای تأمین امنیت کاربران در تلاش هستیم.»