شناسایی باگ امنیتی در دستبند تناسب اندام

07 اردیبهشت 1394 3816 بازدید

 

دستبندهای تناسب اندام این روزها از محبوبیت قابل توجهی برخوردار شده‌اند چراکه این امکان را در اختیار کاربران قرار میدهند تا براحتی ضمن مدیریت فعالیت‌های فیزیکی و کالریهای مصرفی خود همواره از تناسب اندام خود اطمینان حاصل نمایند. البته این مزیت یکی از چند عملکرد این دستگاهها بوده و ضمن اتصال به دستگاههای همراه کاربر، داده های مهم شخصی آنها را نیز پردازش می‌نمایند که از این حیث امنیت آنها نیز اهمیت می‌یابد. رومان اونوچک (Roman Unuchek) یکی از محققین امنیتی شرکت کسپرسکی*، اخیراً ضمن بررسی داده های انتقالی بین برخی از دستبندهای دیجیتال تناسب اندام و دستگاه‌های همراه کاربران به نتایج قابل توجهی دست یافت که در این مطلب به بررسی این نتایج میپردازیم.

بر اساس یافته های این محقق امنیتی، ارتباط و اتصال دستگاهها و همچنین سیستم احراز هویت تعبیه شده در برخی از مشهورترین گجت‌ها و دستبندهای هوشمند بگونه‌ای است که براحتی به یک شخص سومی اجازه میدهد تا به دستگاه متصل شده، دستوراتی را اجرا نماید و، در برخی موارد، داده‌های ذخیره شده در آنها را بخواند. در دستگاههای مورد بررسی شرکت کسپرسکی، ساده ترین نوع اطلاعات قابل درز میزان پیاده روی کاربر و تعداد گامهای اندازه گیری شده‌ی وی طی ساعتهای اخیر بود. ولی بی شک در گجت‌های هوشمندتر و نسل بعدی این دستبندها که رفته رفته وارد بازار می‌شوند حجم اطلاعات بسیار مهتری در این دستگاهها ذخیره و جابجا میشود که شاید امنیت آن از نظر محرمانگی و یا حتی از نظر سلامتی برای کاربر از اهمیتی حیاتی برخودار باشد.

این اتصال غیرمجاز بدلیل روش ضعیف تعبیه شده برای جفت شدن یا اتصال این دستبندها با تلفن هوشمند کاربر ممکن شده است. برای جفت کردن یا اتصال دوجانبه این گجت با تلفن همراه، کاربر کافی است با فشار یک دکمه روی دستبند خود این اتصال را تأیید نمایند. لذا یکی از دلایل دیگری هم که اغلب سودجویان میتوانند راحت تر به نفوذ به این دستگاهها و سرقت اطلاعات کاربر بپردازند عدم وجود صفحه نمایش برای اغلب این دستبندها است و زمانی که کاربر یک ویبریشن یا لرزه را بمنزله‌ی درخواست تأیید اتصال روی دستگاه احساس میکنند مشخص نیست که این درخواست برای اتصال و جفت شدن دستبند با تلفن همراه خودشان بوده یا دستگاهی دیگر.

رومان اونوچک، محقق و تحلیلگر ارشد بدافزارها اگرچه این حمله فرضی در این دستگاهها هنوز صد در صد عملی نیست و دست آخر فرد سودجو نمیتواند بسادگی اطلاعات حساتی و حساس کاربر از جمله کلمات عبور وی را به سرقت برساند ولی آنچه در این لحظه اهمیت می‌یابد این است که در حال حاضر این آسیب‌پذیری وجود دارد که به یک شخص سوم یا فرد سودجو اجازه دسترسی به این دستگاه را بدهد و این نمیبایست با توجه به رشد روزافزون این گجت‌ها و محبوبیت آنها بین کاربران اینگونه نادیده گرفته شود. اگرچه اغلب این دستبندهای تناسب اندام در حال حاضر توانایی‌های ساده ای از جمله شمارش گامهای کاربر یا مشخص کردن بازه خواب و بیداری وی را دارند ولی نسل بعدی آنها در راه است که اطلاعاتی بیشتر و حساس‌تری از کاربر را ذخیره می‌نمایند. لذا اکنون زمانی است که امنیت این دستگاهها بویژه در سیستم اتصال آنها به دستگاههای مختلف اهمیت زیادی داشته و می‌بایست مورد بررسی قرار گیرد.

کارشناسان امنیتی کسپرسکی در نهایت از تمامی کابران دستگاههای هوشمند بویژه علاقمندان به آخرین گجت‌ها تقاضا دارد تا ضمن اطمینان از خرید این دستگاهها از تولیدکنندگان مطمئن، همواره احتمال یا وجود این آسیب‌پذیری‌ها را در نظر بگیرند.

 

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.