«إسيت» تكشف العديد من نقاط الضعف في الأجهزة المنزلية الذكية

وجد فريق أبحاث شركة «إسيت» لإنترنت الأشياء العديد من نقاط الضعف الأمنية الخطيرة في ثلاثة أجهزة لنظم المنزل المركزية الذكية، وهم : Fibaro Home Center Liteو HomeMatic Central Control Unit (CCU2) و eLAN-RF-003.

يمكن إساءة استخدام بعض العيوب من قبل المهاجمين لاحداث هجمات MitM أو التنصت على الضحية أو إنشاء أبواب خلفية أو الوصول إلى الجذر لبعض الأجهزة ومحتوياتها. في أسوأ السيناريوهات، يمكن أن تسمح هذه المشكلات للمهاجمين بالسيطرة على الأجهزة المركزية المذكورة وجميع الأجهزة الطرفية المتصلة بها.

تقدم «إسيت» مزيدًا من التفاصيل في مدونة بعنوان “العيوب الخطيرة الموجودة في العديد من أجهزة المنزل المركزية الذكية: هل جهازك بينهم؟”.

في العام 2018، تم الإبلاغ عن المشكلات الموضحة في هذه المقالة للمصنعين. وقاموا بدورهم بعد ذلك بإصدار تصحيحات لمعظمها. وتم تأجيل النشر بسبب تركيزنا على البحث في نقاط الضعف الأخرى التي لا تزال نشطة. ومع المتطلبات المتزايدة الحالية لأمن إنترنت الأشياء، ننشر هذه المجموعة من النتائج القديمة لتقديم المزيد من النصائح لجميع مالكي الأجهزة المتأثرة لإجراء آخر التحديثات على أجهزتهم لزيادة أمنهم وتقليل التعرض للهجمات الخارجية.

وصرح “أوندري كوبوفيتش” أخصائي الأمن والتوعية في شركة «إسيت»، وقال: ” الثغرات الأمنية في أجهزة إنترنت الأشياء مشكلة سائدة. وبحثنا يثبت أن العيوب في الإعدادات أو التشفير المفقود أو المصادقة ليست حصرية على الأجهزة الرخيصة السعر والمحدودة الميزات فقط، ولكنها غالبًا ما تكون موجودة في الأجهزة المتطورة أيضًا”.

أحد الأجهزة ذات نقاط الضعف Fibaro Home Center Lite: وهو وحدة التحكم في الأتمتة المنزلية مصمم للتحكم في مجموعة واسعة من الأجهزة الطرفية في المنزل الذكي. قام فريق “بحث إسيت لإنترنت الأشياء” بفحص الجهاز بدقة وكشف عن مزيج من نقاط الضعف الخطيرة التي يمكن أن تفتح الباب للمهاجمين الخارجيين. سمحت مجموعة واحدة من العيوب التي تم العثور عليها للمهاجمين بإنشاء باب خلفي SSH والتحكم الكامل في الجهاز المستهدف. وبعد الإبلاغ عن المشكلة، تم الإصلاح على الفور من قبل الشركة المصنعة.

جهاز آخر وهو Homematic CCU2 وحدة مركزية لنظام المنزل الذكي للمستخدم بواسطة eQ-3 – وجد أيضًا خلل أمني خطير أثناء الاختبار، ويعطي للمهاجم القدرة على تنفيذ رمز بعيد غير مصادق (RCE) كمستخدم جذري. كان للخلل آثار أمنية خطيرة، مما سمح للمهاجمين بالوصول الكامل إلى أجهزة Homematic CCU2 وربما أيضًا إلى الأجهزة الطرفية المتصلة من خلال الأوامر التي تسيء استخدام ثغرة RCE. وبعد الإبلاغ عن المشكلة، تم إصلاح المشكلة من قبل الشركة المصنعة.

والجهاز الثالث هو جهازeLAN-RF-003 والمصمم كوحدة مركزية في المنزل الذكي، ويتيح للمستخدم التحكم في مجموعة متنوعة من الأنظمة المنزلية عبر تطبيق مثبت على أجهزة العميل مثل الهاتف الذكي أو الساعة الذكية أو الجهاز اللوحي أو تلفزيون ذكي. اختبر فريق”بحث إسيت لإنترنت الأشياء” الجهاز جنبًا إلى جنب مع جهازين طرفيين من نفس الشركة المصنعة.

أظهرت نتائج الاختبار أن توصيل الجهاز بالإنترنت أو حتى تشغيله على شبكة LAN الخاصة بشخص ما قد يشكل خطرًا على المستخدم بسبب عدد من نقاط الضعف الحرجة. وتضمن ذلك مصادقة غير كافية، والتي تسمح بتنفيذ جميع الأوامر دون تسجيل الدخول أو الاتصال اللاسلكي مع الأجهزة الطرفية التي تكون عرضة للتسجيل وإعادة الهجمات. قام المصنع بإصلاح بعض نقاط الضعف التي تم الإبلاغ عنها ثم ركز على تطوير أجيال أحدث من الجهاز.