مجله اینفوسکیوریتی نوشت:

توانایی بلندگوهای هوشمند در افشای اطلاعات شبکه‌‌های سازمانی

محققان امنیتی به دلیل کشف نقص‌هایی در بلندگوهای متصل به اینترنت که مهاجمان را قادر به نفوذ به شبکه‌های سازمانی می‌کند، هشدار دادند.  
 
Stephen Hilt، محقق ارشد نرم‌افزار امنیتی Trend Micro، توضیح داد که این شرکت توانسته است در یک جستجوی ساده با استفاده از موتورهای جست‌وجو 4 تا 5 هزار اسپیکر از شرکت Sonos و صدها اسپیکر از شرکت صوتی Bose را که متصل به اینترنت عمومی بودند را پیدا کند.

او ادامه داد: "اولین کشف برجسته این شرکت، دسترسی به آدرس‌های ایمیلی است که با سرویس‌ دهنده‌های موسیقی همگام‌سازی شده و با دستگاه‌ها ارتباط برقرار می‌کند. کشف دیگر لیستی از دستگاه‌ها و همچنین پوشه‌های به اشتراک گذاشته شده بودند که در همان شبکه به‌عنوان یک دستگاه تست متصل شده و در دسترس قرار داشتند."

"ما همچنین اطلاعات BSSID (Basis Service Set Identifier) (به معنای پایه و اساس تنظیم شناسه سرویس) را از طریق یک API (Application Programming Interface ) (رابط پیاده‌سازی توسط نرم‌افزار است که به دیگر برنامه‌ها اجازه می‌دهد با آن ارتباط داشته باشند) موجود که به BSSIDهای خاصی متصل بودند را پیدا کردیم، که به‌راحتی محل تقریبی نقاط دسترسی مورداستفاده در دستگاه‌های مورد تست را به ما نشان می‌داد. درنهایت، ما قادر بودیم فعالیت تمام دستگاه‌ها ازجمله آن‌هایی که در حال پخش بودند، آن‌هایی که امکان کنترل از راه دور داشتند و همچنین دستگاه‌هایی که از طریق مسیرهای URI در حال پخش موسیقی بودند را رصدکنیم."



در عمل، این بدان معنی است که مهاجمان می‌توانند به کارهایی خیلی بیشتر از کنترل دستگاه پرداخته و حتی می‌توانند به اطلاعات مربوط به دستگاه‌های موجود در همان شبکه از طریق بلندگو دسترسی پیدا کنند.

Hilt گفت: "در یک سناریو در محل کار، یک دستگاه مثل دستگاه‌های IoT (اینترنت اشیاء) که در معرض شناسایی قرار دارد و  به یک شبکه متصل است، می‌تواند اطلاعات فراوانی از کاربر را در دسترس یک مهاجم قرار دهد." "مجرمان سایبری می‌توانند ماشین‌هایی مثل پرینتر با آسیب‌پذیری‌های موجود را پیدا و از آن برای جمع‌آوری اطلاعات بیشتر یا به‌عنوان نقطه ورود به شبکه استفاده نمایند."

سایر سناریوهای حمله شامل استفاده از اطلاعات تنظیمات موسیقی کاربران برای ساخت یک ایمیل اسپرفیشینگ(spearphishing email یک حمله ایمیل دروغین است که به یک سازمان یا فرد خاص هدایت می شود و به دنبال دسترسی غیرقانونی به اطلاعات حساس است) است که به آدرس ایمیل مرتبط با حساب‌جاری کاربران ارسال می‌شود.

همچنین Trend Micro هشدار داد که دستگاه‌ها تلاش می‌کنند تا کاربران را زمانی که در خانه خواب هستند و یا زمانی که خارج از خانه هستند پیداکرده، تا مهاجمان بتوانند به‌منظور انجام سرقت نقاط دسترسی بی‌سیم (WAP ها) را کنترل کنند.



یکی دیگر از گزینه‌ها این است که از اطلاعات در معرض خطر برای از بین بردن دستگاه کاربر استفاده کرده و سپس یک ایمیل مخرب با عنوان "به‌روزرسانی سازنده" ارسال می‌کنند.

Hilt گفت: " دستگاه‌های IoT که به اینترنت متصل هستند را هرگز نباید در معرض رصد قرار داد. در مورد دستگاه‌های آزمایشی نیز تولیدکنندگان باید اطمینان حاصل کنند که پورت‌های اتصال به دستگاه‌ها به‌طور مستقیم از اینترنت قابل‌دسترس نباشند." " همچنین تولیدکنندگان باید داده‌هایی را که توسط دستگاه‌های IoT ذخیره یا کامپایل می‌شوند را نگهداری و ممیزی‌های امنیتی را برای آن‌ها انجام دهند."

او افزود که کاربران و مدیران فناوری اطلاعات باید دسترسی به دستگاه‌های هوشمند را محدود، حفاظت از رمز عبور قوی را فعال، سیستم‌عامل خود را بروز و شبکه‌ها را برای پیدا کردن پورت‌های باز اسکن کنند.

اگرچه تعداد دستگاه‌های تحت تأثیر در این امر فقط یک درصد کوچکی از مجموع آن را شامل می‌شود؛ اما، شرکت Sonos به‌سرعت موضوعاتی را که توسط Trend Micro مطرح می‌شود را بررسی و رفع می‌کند، درحالی‌که شرکت Bose هنوز از زمان انتشار این خبر واکنشی نداشته است.
 

نظرات کاربران (کامنتها)

ارسال نظر جدید

محتواي اين فيلد خصوصي نگهداشته شده و قابل مشاهده توسط عموم نخواهد بود.
  • آدرس‌های وب و آدرس‌های ایمیل به صورت خودکار به لینک تبدیل می‌شوند.
  • خطوط و پاراگراف‌ها به صورت خودکار شکسته می‌شوند.
  • Allowed HTML tags: <a> <span> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <thead> <table> <tr> <td> <tbody> <th> <img> <a> <div> <map> <br>

اطلاعات بیشتر درباره فرمت های ورود اطلاعات

پرسش امنیتی
این پرسش به منظور تامین امنیت بیشتر در برنامه و شناسایی شما به عنوان یک کاربر انسانی ارائه شده است تا از پر شدن اتوماتیک فرم توسط روبات ها و اسپمرها جلوگیری به عمل آید.
1 + 0 =
این سوال ساده ریاضی را حل کنید و نتیجه را در محل مربوطه وارد نمایید. به طور مثال: عدد (1) + عدد (3): پاسخ عدد (4) خواهد بود و شما باید عدد (4) را در محل مناسب وارد کنید.