في عام 2019 ، أجرت شركة McAfee Advanced Threat Research (ATR) مشروعًا بحثيًا عن الثغرات الأمنية على منتج آمن لتوصيل الطرود المنزلية ، يُعرف باسم BoxLock. يمكن العثور على المدونة المقابلة هنا ويسلط الضوء على ثغرة وجدناها في تكوين Bluetooth Low Energy (BLE) الذي يستخدمه الجهاز. في النهاية ، سمح لنا الخلل بإلغاء قفل أي BoxLock في نطاق Bluetooth باستخدام تطبيق قياسي من متجر Apple أو Google.
بعد فترة وجيزة من إصدارنا لهذه المدونة ، تواصلت شركة منتجات مماثلة في المملكة المتحدة مع الباحث الأساسي (Sam Quinn) هنا في McAfee ATR ، وطلبت من الفريق إجراء تحليل بحثي على منتجه ، يسمى iParcelBox. يتألف هذا الجهاز من حاوية فولاذية آمنة مع زر ضغط في الخارج ، مما يسمح لسعاة الطرود بطلب الوصول إلى حاوية التسليم بضغطة زر بسيطة ، وإخطار صاحب المنزل عبر التطبيق والسماح بوظائف الفتح / الإغلاق عن بُعد.
iParcelBox – تسليم الطرود بشكل آمن وتطبيق iParcelBox
تمكن الباحث من القيام بدور فريد في هذا المشروع من خلال تنفيذ OSINT (ذكاء مفتوح المصدر) ، وهو ممارسة استخدام المعلومات المتاحة للجمهور ، وغالبًا ما يتم الإعلان عنها عن غير قصد ، للإضرار بجهاز أو نظام أو مستخدم. في هذه الحالة ، لم يكن المطور الرئيسي للمنتج يمارس نظافة البيانات الآمنة لمنشوراته عبر الإنترنت ، مما سمح للباحث باكتشاف المعلومات التي اختصرت بشكل كبير ما كان يمكن أن يكون مشروعًا أكثر تعقيدًا. اكتشف بيانات الاعتماد الإدارية وما يقابلها من تصميمات وتكوينات داخلية ، مما أتاح للفريق بشكل فعال الوصول إلى أي وجميع أجهزة iParcelBox في جميع أنحاء العالم ، بما في ذلك القدرة على فتح أي جهاز في نزوة. تم تنفيذ جميع حالات الاختبار على الأجهزة المعملية المملوكة للفريق أو المعتمدة من قبل iParcelBox. يمكن العثور على مزيد من التفاصيل حول عملية البحث بأكملها في النسخة الفنية الكاملة لمدونة البحث هنا.
تم تصميم الأجزاء الداخلية الفعلية للنظام جيدًا من منظور أمني ، باستخدام مفاهيم مثل SSL للتشفير وتعطيل تصحيح أخطاء الأجهزة وإجراء فحوصات المصادقة المناسبة. لسوء الحظ ، تم تقويض هذا المستوى من التصميم والأمان بسبب حقيقة أن بيانات الاعتماد لم تكن محمية بشكل صحيح عبر الإنترنت. مسلحًا ببيانات الاعتماد هذه ، تمكن الباحث من استخراج الشهادات الحساسة والمفاتيح وكلمات مرور الجهاز وكلمات مرور WIFI من أي iParcelBox.
ثانيًا ، عندما قام الباحث بإعداد الكتابة حول تقنيات OSINT المستخدمة لهذا الغرض ، قام باكتشاف آخر. عند تحليل التكوين الذي يستخدمه تطبيق Android للتفاعل مع إطار عمل IOT المستند إلى السحابة (AWS-IOT) ، وجد أنه حتى بدون كلمة مرور إدارية ، يمكنه تسريب بيانات اعتماد مؤقتة نص عادي للاستعلام عن قاعدة بيانات AWS. تحتوي بيانات الاعتماد هذه على تكوين خاطئ للإذن مما سمح للباحث بالاستعلام عن جميع المعلومات حول أي جهاز iParcelBox وأن يصبح المالك الأساسي.
في كلتا الحالتين ، لاستهداف جهاز ، سيحتاج المهاجم إلى معرفة عنوان MAC الخاص بجهاز iParcelBox الخاص بالضحية ؛ ومع ذلك ، يبدو أن عناوين MAC الخاصة بـ iParcelBox يتم إنشاؤها بشكل غير عشوائي وكان من السهل تخمينها.
تتضمن الجهود البحثية النموذجية لـ McAfee ATR تحليل الأجهزة المعقدة والهندسة العكسية وتطوير الاستغلال وغير ذلك الكثير. بينما ارتكب المطور بعض الأخطاء عالية المستوى فيما يتعلق بالتكوين وصحة البيانات ، فإننا نريد أن نتوقف لحظة للتعرف على مستوى الجهد المبذول في كل من الأمن المادي والرقمي. نفذ iParcelBox العديد من مفاهيم الأمان غير الشائعة لأجهزة IOT ورفع مستوى المهاجمين بشكل كبير. من الأسهل بكثير إصلاح مشكلات مثل كلمات المرور المسربة أو مشكلات التكوين الأساسية بدلاً من إعادة إنشاء الأجهزة أو إعادة برمجة البرامج لتثبيتها على الأمان بعد وقوعها. قد يكون هذا هو السبب الذي جعل الشركة قادرة على إصلاح كلتا المشكلتين على الفور تقريبًا بعد أن أبلغناهم في مارس 2020. يسعدنا أن نرى المزيد والمزيد من الشركات من جميع الأحجام التي تتبنى مجتمع أبحاث الأمان وتتعاون بسرعة لتحسين منتجاتها ، حتى منذ بداية دورة التطوير.
ماذا يمكن ان يفعل؟
للمستهلكين:
حتى المطورين يخضعون لنفس المشكلات التي نواجهها جميعًا ؛ اختيار كلمات مرور آمنة ومعقدة ، وحماية بيانات الاعتماد المهمة ، وممارسة النظافة الأمنية ، واختيار التكوينات الآمنة عند تنفيذ عناصر التحكم في أحد الأجهزة. كما هو الحال دائمًا ، نشجعك على تقييم نهج البائع للأمان. هل يتبنون ويشجعون أبحاث الثغرات الأمنية على منتجاتهم؟ ما مدى سرعة تنفيذ الإصلاحات وهل يتم إجراؤها بشكل صحيح؟ سيكون لكل منتج في السوق تقريبًا عيوب أمنية إذا نظرت بجدية كافية ، ولكن يمكن القول إن الطريقة التي يتم التعامل بها أكثر أهمية من العيوب نفسها.
للمطورين والبائعين:
يجب أن تقدم دراسة الحالة هذه شهادة قيمة على قوة المجتمع. لا تخف من إشراك الباحثين الأمنيين وتبني اكتشاف نقاط الضعف. كلما كانت النتيجة أكثر أهمية ، كان ذلك أفضل! العمل مع الباحثين أو الشركات البحثية التي تمارس الإفصاح المسؤول، مثل McAfee ATR. بالإضافة إلى ذلك ، يمكن أن يكون من السهل التغاضي عن الأشياء البسيطة مثل التسرب غير المقصود للبيانات الهامة التي تم العثور عليها أثناء هذا المشروع. يجب أن تتضمن قائمة التحقق الأمنية خطوات معقدة وبسيطة لضمان احتفاظ المنتج بضوابط أمنية مناسبة وحماية البيانات الأساسية وتدقيقها بشكل دوري.
x3Cimg height = “1” width = “1” style = “display: none” src = “https://www.facebook.com/tr؟id=766537420057144&ev=PageView&noscript=1” /> x3C / noscript> ‘ ) ؛
