خطر هک میلیونها ابزار اینترنت اشیا
خلاصه: پروتکل Z-Wave یکی از پروتکلهای ارتباط نزدیک مورد استفاده ابزارهای اینترنت اشیا برای ارتباط با یکدیگر است. آخرین استاندارد امنیتی این پروتکل با نام S2 مشکل امنیتی ندارد؛ اما نسخه قبلی این استاندارد با نام S0 دارای ضعفهای امنیتی است. دستگاهها به خاطر قابلیت هماهنگی با دستگاههای قدیمیتر هنوز از این پروتکل استفاده میکنند. مهاجمان میتوانند با جا زدن خود به عنوان دستگاه قدیمی، صدها میلیون دستگاه اینترنت اشیا را هدف قرار دهند.
محققان معتقدند صدها میلیون ابزار اینترنت اشیا در خطر هک قرار دارند. این تهدید شامل میلیونها ابزار اینترنت اشیای تولید شده توسط هزاران تولید کننده میشود. این ابزارها در خطر دسترسی بدون اجازه به این ابزارها قرار دارند.
مساله تهدید مربوط به پیادهسازی پروتکل Z-Wave است. این پروتکل برای ارتباط وایرلس در بازه امواج رادیویی است که برای ارتباط ارتباط ابزارهای اینترنت اشیا با یکدیگر مورد استفاده قرار میگیرد. این پروتکل به منظور کنترل از راه دور ابزارهای اینترنت اشیا در یک خانه طراحی شده و اولویت آن پردازش ساده برای ارتباط و کنترل از راه دور تا فاصله حداکثر 100 متری بوده است.
آخرین استاندارد امنیتی این پروتکل با نام S2 از یک مدیریت کلید قوی دیفی-هلمن برای تبادل کلید برای تبادل کلید بین کنترل کننده و ابزارها بهره میبرد.
علی رغم اینکه شرکت Silicon Labs استفاده از این استاندارد را برای همه ابزارها اجباری نموده است، هنوز بسیاری از دستگاهها از استاندارد قبلی که S0 نام دارد پشتیبانی مینمایند.
استاندارد S0 دارای یک آسیبپذیری اساسی است که در سال ۲۰۱۳ کشف شده است. این استاندارد از یک کلید یکسان برای محافظت از شبکه استفاده مینماید که به مهاجمان این اجازه را میدهد که ارتباطات ابزارهایی که در برد آنها هستند را به سرقت ببرند.
پس از بررسی کارشناسان روی دستگاههایی که از دو استاندارد امنیتی این پروتکل پشتیبانی مینمایند، مشخص شد که دستگاهها را میتوان اجبار نمود که از نسخه قبلی استاندارد برای ارتباط استفاده نمایند.
این حمله که کارشناسان آن را Z-Shave نامگذاری نمودهاند، به مهاجم امکان نفوذ در ارتباط تبادل کلید و به دست آوردن کنترل دستگاه را میدهد.
محققان دریافتهاند که یک آسیبپذیری در انتخاب بین استانداردهای S0 و S2 وجود دارد و هر ابزار اطلاعات خود که شامل اطلاعات کلاس امنیتی نیز میباشد به صورت فاش انتقال میدهد که به مهاجم اجازه میدهد که در میان ارتباط قرار گرفته و یا اطلاعات ابزار را بدون در نظر گرفتن کلاسهای بالای امنیت منتشر کند.
محققان این روش را برای هک کردن تعدادی ابزار به کار گرفته و موفقیت این روش حمله را نشان دادهاند؛ با این حال شرکت Silicon Labs در پستی اعلام نموده است که اطمینان دارد که محصولات خود امن بوده و نسبت به این تهدیدات ایمن هستند!!
این شرکت اعلام نموده که سازگاری ابزارهای اینترنت اشیا با استاندارد جدید S2 یک شبه ممکن نیست و ابزارها نیاز دارند که بتوانند با استاندارد S0 نیز ارتباط بگیرند. همچنین این شرکت اعلام نموده که ساز و کارهایی برای هشدار دادن به کاربران، زمانی که ابزارهای جدید خود را به شبکههای قدیمی متصل میکنند، وجود دارد؛ اما برای تولیدکنندگان ابزارهای اینترنت اشیا نشان دادن این هشدارها در رابط کاربری به کاربران دشوار است!!
محققان معتقدند صدها میلیون ابزار اینترنت اشیا در خطر هک قرار دارند. این تهدید شامل میلیونها ابزار اینترنت اشیای تولید شده توسط هزاران تولید کننده میشود. این ابزارها در خطر دسترسی بدون اجازه به این ابزارها قرار دارند.
مساله تهدید مربوط به پیادهسازی پروتکل Z-Wave است. این پروتکل برای ارتباط وایرلس در بازه امواج رادیویی است که برای ارتباط ارتباط ابزارهای اینترنت اشیا با یکدیگر مورد استفاده قرار میگیرد. این پروتکل به منظور کنترل از راه دور ابزارهای اینترنت اشیا در یک خانه طراحی شده و اولویت آن پردازش ساده برای ارتباط و کنترل از راه دور تا فاصله حداکثر 100 متری بوده است.
آخرین استاندارد امنیتی این پروتکل با نام S2 از یک مدیریت کلید قوی دیفی-هلمن برای تبادل کلید برای تبادل کلید بین کنترل کننده و ابزارها بهره میبرد.
علی رغم اینکه شرکت Silicon Labs استفاده از این استاندارد را برای همه ابزارها اجباری نموده است، هنوز بسیاری از دستگاهها از استاندارد قبلی که S0 نام دارد پشتیبانی مینمایند.
استاندارد S0 دارای یک آسیبپذیری اساسی است که در سال ۲۰۱۳ کشف شده است. این استاندارد از یک کلید یکسان برای محافظت از شبکه استفاده مینماید که به مهاجمان این اجازه را میدهد که ارتباطات ابزارهایی که در برد آنها هستند را به سرقت ببرند.
پس از بررسی کارشناسان روی دستگاههایی که از دو استاندارد امنیتی این پروتکل پشتیبانی مینمایند، مشخص شد که دستگاهها را میتوان اجبار نمود که از نسخه قبلی استاندارد برای ارتباط استفاده نمایند.
این حمله که کارشناسان آن را Z-Shave نامگذاری نمودهاند، به مهاجم امکان نفوذ در ارتباط تبادل کلید و به دست آوردن کنترل دستگاه را میدهد.
محققان دریافتهاند که یک آسیبپذیری در انتخاب بین استانداردهای S0 و S2 وجود دارد و هر ابزار اطلاعات خود که شامل اطلاعات کلاس امنیتی نیز میباشد به صورت فاش انتقال میدهد که به مهاجم اجازه میدهد که در میان ارتباط قرار گرفته و یا اطلاعات ابزار را بدون در نظر گرفتن کلاسهای بالای امنیت منتشر کند.
محققان این روش را برای هک کردن تعدادی ابزار به کار گرفته و موفقیت این روش حمله را نشان دادهاند؛ با این حال شرکت Silicon Labs در پستی اعلام نموده است که اطمینان دارد که محصولات خود امن بوده و نسبت به این تهدیدات ایمن هستند!!
این شرکت اعلام نموده که سازگاری ابزارهای اینترنت اشیا با استاندارد جدید S2 یک شبه ممکن نیست و ابزارها نیاز دارند که بتوانند با استاندارد S0 نیز ارتباط بگیرند. همچنین این شرکت اعلام نموده که ساز و کارهایی برای هشدار دادن به کاربران، زمانی که ابزارهای جدید خود را به شبکههای قدیمی متصل میکنند، وجود دارد؛ اما برای تولیدکنندگان ابزارهای اینترنت اشیا نشان دادن این هشدارها در رابط کاربری به کاربران دشوار است!!