أخبار التقنية

افتح أبواب الجراج في أي مكان في العالم باستغلال هذا الجهاز “الذكي”


GettyImages

إن وحدة التحكم في باب المرآب الرائدة في السوق مليئة بنقاط ضعف شديدة في الأمان والخصوصية لدرجة أن الباحث الذي اكتشفها ينصح أي شخص يستخدمها بفصلها على الفور حتى يتم إصلاحها.

يستخدم كل جهاز بقيمة 80 دولارًا أمريكيًا لفتح أبواب المرآب وإغلاقها والتحكم في إنذارات أمان المنزل ومقابس الطاقة الذكية نفس كلمة المرور العامة التي يسهل العثور عليها للتواصل مع خوادم Nexx. تبث وحدات التحكم أيضًا عنوان البريد الإلكتروني غير المشفر ومعرف الجهاز والاسم الأول والأخير المقابل لكل واحد ، جنبًا إلى جنب مع الرسالة المطلوبة لفتح أو إغلاق الباب أو تشغيل أو إيقاف تشغيل المكونات الذكية أو جدولة مثل هذا الأمر في وقت لاحق وقت.

افصل جميع أجهزة Nexx على الفور

النتيجة: يمكن لأي شخص لديه خلفية فنية معتدلة البحث في خوادم Nexx عن عنوان بريد إلكتروني أو معرّف الجهاز أو الاسم ثم إصدار أوامر إلى وحدة التحكم المرتبطة. (متحكمات Nexx لأجهزة الإنذارات الأمنية المنزلية عرضة لفئة مماثلة من نقاط الضعف.) تسمح الأوامر بفتح الباب أو إيقاف تشغيل جهاز متصل بمقبس ذكي أو نزع سلاح الإنذار. والأسوأ من ذلك أنه على مدار الأشهر الثلاثة الماضية ، لم يستجب موظفو Nexx ومقرها تكساس إلى رسائل خاصة متعددة تحذر من نقاط الضعف.

كتب الباحث الذي اكتشف نقاط الضعف في منشور نُشر يوم الثلاثاء: “لقد تجاهلت Nexx باستمرار محاولات الاتصال من نفسي ومن وزارة الأمن الداخلي ووسائل الإعلام”. “يجب على مالكي الأجهزة فصل جميع أجهزة Nexx على الفور وإنشاء تذاكر دعم مع الشركة تطلب منهم معالجة المشكلة”.

يقدر الباحثون أن أكثر من 40.000 جهاز ، تقع في العقارات السكنية والتجارية ، قد تأثرت وأن أكثر من 20.000 فرد لديهم حسابات Nexx نشطة.

تسمح وحدات تحكم Nexx للأشخاص باستخدام هواتفهم أو مساعدي الصوت لفتح وإغلاق أبواب المرآب ، إما عند الطلب أو في الأوقات المحددة من اليوم. يمكن أيضًا استخدام الأجهزة للتحكم في إنذارات أمن المنزل والمقابس الذكية المستخدمة لتشغيل أو إيقاف تشغيل الأجهزة عن بُعد. محور هذا النظام عبارة عن خوادم تديرها Nexx ، والتي يتصل بها كل من الهاتف أو المساعد الصوتي وفتاحة باب المرآب. تبدو العملية المكونة من خمس خطوات لتسجيل جهاز جديد كما يلي:

  1. يستخدم المستخدم تطبيق Nexx Home للجوّال لتسجيل جهاز Nexx الجديد مع Nexx Cloud.
  2. خلف الكواليس ، تقوم Nexx Cloud بإرجاع كلمة مرور للجهاز لاستخدامها في الاتصالات الآمنة مع Nexx Cloud.
  3. يتم إرسال كلمة المرور إلى هاتف المستخدم وإرسالها إلى جهاز Nexx باستخدام Bluetooth أو Wi-Fi.
  4. ينشئ جهاز Nexx اتصالاً مستقلاً مع Nexx Cloud باستخدام كلمة المرور المتوفرة.
  5. يمكن للمستخدم الآن تشغيل باب المرآب عن بعد باستخدام تطبيق Nexx Mobile App.

هذا توضيح للعملية:

سام ثابتان

كلمة مرور عامة يسهل العثور عليها

لإنجاز كل هذا العمل ، تستخدم وحدات التحكم بروتوكولًا خفيف الوزن يُعرف باسم MQTT. اختصار لـ “النقل عن بُعد لخدمة وضع الرسائل في قائمة انتظار” ، يتم استخدامه في الشبكات ذات النطاق الترددي المنخفض ، أو زمن الانتقال العالي ، أو الشبكات غير المستقرة بطريقة أخرى لتعزيز الاتصال الفعال والموثوق بين الأجهزة والخدمات السحابية. للقيام بذلك ، تستخدم Nexx نموذج النشر للاشتراك ، حيث يتم إرسال رسالة واحدة بين الأجهزة المشتركة (الهاتف ، والمساعد الصوتي ، وفتحة باب المرآب) ووسيط مركزي (سحابة Nexx).

وجد الباحث Sam Sabetan أن الأجهزة تستخدم نفس كلمة المرور للتواصل مع سحابة Nexx. علاوة على ذلك ، يمكن الوصول بسهولة إلى كلمة المرور هذه ببساطة عن طريق تحليل البرامج الثابتة التي يتم شحنها مع الجهاز أو الاتصال ذهابًا وإيابًا بين الجهاز وسحابة Nexx.

كتب الباحث: “يمثل استخدام كلمة مرور عامة لجميع الأجهزة ثغرة أمنية كبيرة ، حيث يمكن للمستخدمين غير المصرح لهم الوصول إلى النظام البيئي بأكمله من خلال الحصول على كلمة المرور المشتركة”. عند القيام بذلك ، يمكنهم المساومة ليس فقط على الخصوصية ولكن أيضًا على سلامة عملاء Nexx من خلال التحكم في أبواب المرآب الخاصة بهم دون موافقتهم.

عندما استخدم Sabetan كلمة المرور هذه للوصول إلى الخادم ، سرعان ما وجد ليس فقط اتصالات بين جهازه والسحابة ، ولكن اتصالات لأجهزة Nexx الأخرى والسحابة. وهذا يعني أنه يمكنه التدقيق في عناوين البريد الإلكتروني ، والأسماء الأخيرة ، والأحرف الأولى من الاسم الأول ، ومعرفات الأجهزة للمستخدمين الآخرين لتحديد العملاء استنادًا إلى المعلومات الفريدة التي تمت مشاركتها في هذه الرسائل.

لكن الأمور تزداد سوءًا. يمكن لـ Sabetan نسخ الرسائل الصادرة عن مستخدمين آخرين لفتح أبوابهم وإعادة تشغيلها حسب الرغبة – من أي مكان في العالم. وهذا يعني أن عملية القص واللصق البسيطة كانت كافية للتحكم في أي جهاز Nexx بغض النظر عن مكانه أو مكانه.

فيما يلي مقطع فيديو لإثبات المفهوم يوضح الاختراق:

https://www.youtube.com/watch؟v=kD1cBfv9To8

ثغرة أمنية في NexxHome Smart Garage – CVE-2023-1748.

يعيد هذا الحدث إلى الذهن الكليشيهات البالية التي تقول إن S في إنترنت الأشياء – اختصارًا للمصطلح الشامل إنترنت الأشياء – يرمز إلى الأمان. في حين أن العديد من أجهزة إنترنت الأشياء توفر الراحة ، إلا أن عددًا مخيفًا منها مصمم بأقل قدر من الحماية الأمنية. تعتبر البرامج الثابتة القديمة ذات الثغرات الأمنية المعروفة وعدم القدرة على التحديث نموذجية ، وكذلك العيوب التي لا تعد ولا تحصى مثل بيانات الاعتماد المشفرة وتجاوز التفويض والتحقق من المصادقة الخاطئة.

يجب على أي شخص يستخدم جهاز Nexx التفكير بجدية في تعطيله واستبداله بشيء آخر ، على الرغم من أن فائدة هذه النصيحة محدودة نظرًا لعدم وجود ضمان بأن البدائل ستكون أكثر أمانًا.

مع تعرض العديد من الأجهزة للخطر ، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية نصيحة تقترح على المستخدمين اتخاذ تدابير دفاعية ، بما في ذلك:

  • تقليل تعرض الشبكة لجميع أجهزة و / أو أنظمة نظام التحكم ، والتأكد من عدم إمكانية الوصول إليها من الإنترنت.
  • تحديد مواقع شبكات نظام التحكم والأجهزة البعيدة خلف جدران الحماية وعزلها عن شبكات الأعمال.
  • عندما يكون الوصول عن بعد مطلوبًا ، استخدم طرقًا آمنة ، مثل الشبكات الخاصة الافتراضية (VPN) ، للتعرف على الشبكات الظاهرية الخاصة التي قد تحتوي على نقاط ضعف ويجب تحديثها إلى أحدث إصدار متاح. تعرف أيضًا على أن VPN آمنة فقط مثل الأجهزة المتصلة بها.

بالطبع ، من المستحيل نشر هذه الإجراءات عند استخدام وحدات تحكم Nexx ، مما يعيدنا إلى انعدام الأمان العام لإنترنت الأشياء ونصيحة Sabetan للتخلي عن المنتج ببساطة ما لم يصل الإصلاح أو حتى يصل.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

kelly clarkson weight loss secret diet kelly clarkson lose weight kelly clarkson weight loss 2024 kelly clarkson and ozempic dr oz perspective on losing weight keto gummies reviews alert keto gummies for weight loss peoples keto kelly clarkson journey to lose weight naturally kelly clarkson weight loss story dr oz analysis on ozempic how did kelly clarkson lose weight kelly clarkson weight loss diet decoding her health and fitness regimen 2024 kelly clarkson keto pills and gummies sweet path to weight loss success fitness keto gummies beware keto gummies reviews keto gummies it works keto acv gummies reviews scam or not watch this keto gummies acv keto gummies to lose weight work