این دستگاه طراحی شده است تا از طریق اینترنت اطلاعات تقویم جیمیل را بارگیری کرده و بر روی صفحهنمایش، نشان دهد. خلل امنیتی آنجایی است که به نفوذگرها امکان میدهد بر روی همان شبکه، اطلاعات ورود به حساب کاربری جیمیل را بدزدند.
محققان امنیتی اشکالی را در یخچالهای هوشمند شرکت سامسونگ پیدا کردند که ممکن است نفوذگرها از آن برای سرقت اطلاعات ورود به حساب کاربری جیمیل استفاده کنند.
Pen Test Partners این آسیبپذیری را که از نوع مرد میانی۱ است را کشف کرده است.
به گزارش تکنــــــــــــــــازدانلود: این آسیبپذیری در مدل RF۲۸HMELBSR از یخچال هوشمند از مجموعهی وسایل خانگی هوشمند سامسونگ پیدا شدهاست که از طریق برنامهی خانه هوشمند کنترل میشود. درحالیکه این مدل SSL را پیادهسازی میکند، اما نمیتواند اعتبارگواهیهای SSL را بررسی کند و بنابراین امکان این حمله را فراهم میسازد.
این دستگاه طراحی شده است تا از طریق اینترنت اطلاعات تقویم جیمیل را بارگیری کرده و بر روی صفحهنمایش، نشان دهد. خلل امنیتی آنجایی است که به نفوذگرها امکان میدهد بر روی همان شبکه، اطلاعات ورود به حساب کاربری جیمیل را بدزدند.
کن مونرو، یک محقق اینترنتی در Pen Test Partners میگوید: «این یخچال هوشمند طراحی شده است تا تقویم گوگل را بر روی صفحهنمایش نشان دهد. این دستگاه در ظاهر همانکاری را میکند که سایر دستگاههایی که تقویم گوگل دارند انجام میدهند. یک کاربر تقویم گوگل خود را بهروزرسانی میکند و این تغییرات بر روی همه دستگاههایی که تقویم را نشان میدهند دیده میشود. درحالی که SSL وجود دارد، اما یخچال نمیتواند گواهی آن را اعتبارسنجی کند. بنابراین نفوذگرها سعی میکنند به شبکهای که یخچال در آن است دسترسی پیدا کرده (احتمالاً از طریق حملهی نقطهی دسترسی وایفای جعلی) و با حملهی مرد میانی اطلاعات ورود به حساب کاربری گوگل را بدزدند.»
این مدل از یخچال هوشمند هنوز در اروپا عرضه نشده است. تیم مشاورهی امنیتی انگلستان، در کنفرانس DEFCON با کمبود وقت نتوانست اطلاعات ارتباطی بین ترمینال یخچال و کارگزار بهروزرسانی نرمافزار را استراق سمع کند. همچنین تلاش برای حمله از نوع سفتافزار از طریق بهروزرسانی سرویسگیرنده نیز موفق نبود. اما در نهایت آنها توانستند اشکال امنیتی را در برنامهی نسخهی تلفن همراه ردگیری کنند.
نام یک پروندهی پیداشده در مخزن گواهیهای امنیتی (KeyStore) در کد برنامهی تلفن همراه نشاندهندهی این بود که کد مورد نظر شامل گواهیهای لازم برای برقراری ارتباط بین برنامه و یخچال است. گواهی به طور صحیح رمزگذاری شده است اما اعتبارنامهی گواهی که در برنامهی تلفنهمراه ذخیره میشود در حالت مبهمی است. بنابراین قدم بعدی پیدا کردن گذرواژه و سپس استفاده از دادهی گواهی در هنگام تصدیق ورود به یخچال و ارسال فرامین به آن است.
پدرو وندا از Pen Test Partners در این باره افزوده است: «ما میخواستیم واحد ترمینال را از یخچال بیرون آورده تا دسترسی فیزیکی به واسط های USB و JTAG داشتهباشیم، اما زمان کافی نداشتیم. اگرچه در زمان موجود توانستیم یک سری اشکالات امنیتی را شناسایی کنیم. حملهی MiTM به تنهایی برای سرقت اطلاعات ورود به حساب کاربری جیمیل کافی است.»
این گروه قبلاً و در بهمنماه گذشته توانسته بود کشف کند که فناوری تلویزیونهای هوشمند شرکت سامسونگ در رمزنگاری صداهای ضبط شده در بستر اینترنت دارای اشکال است.
سامسونگ در اطلاعیهای بیان کرده است: «ما میدانیم که موفقیتمان در گرو اعتماد مشتریانمان به ما، سرویسها و مجصولات است و بدین جهت درحال بررسی موضوع در اسرع وقت هستیم. محافظت از حریم شخصی مشتریان اولین اولیت است، و هر روز برای تأمین امنیت کاربران در تلاش هستیم.»