روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ قفل‌های هوشمند واقعاٌ به کار می‌آیند. مدل‌های مختلفی از آن‌ها در بازار وجود دارد که می‌شود براحتی از بین آن‌ها انتخاب کرد. برخی‌شان می‌توانند وقتی دارنده (و اصلاً اسمارت‌فونِ دارنده) دارد نزدیک می‌شود او (یا آن) را شناسایی کرده و بدون رمز باز شوند. برخی دیگرشان از راه دور کنترل می‌شوند و همین به شما اجازه می‌دهد تا در را برای دوستان و آشنایان خود بدون اینکه خانه باشید باز کنید. برخی دیگر همچنین نظارت ویدیویی نیز ارائه می‌دهند: کسی زنگ را می‌زند و شما فوراً روی گوشی خود متوجه می‌شوید آن کس کیست. با این وجود دستگاه‌های هوشمند ریسک‌هایی هم دارند که کاربران قفل‌های سنتی و آفلاین هرگز در مورد آن نگرانی ندارند. بررسی دقیق روی این ریسک‌ها نشان داده است که به سه دلیل پایبند بودن به همان قفل‌های آفلاین و قدیمی بهتر است. با ما همراه باشید تا این دلایل را بررسی کنیم.

اولین دلیل: قفل‌های هوشمند به طور فیزیکی در مقایسه با قفل‌های نرمال آسیب‌پذیرترند

مشکل این است که قفل‌های هوشمند دو مفهوم را با هم ترکیب می‌کنند. در تئوری، این قفل‌ها اجزای هوشمند قابل اطمینانی دارند و در عین حال در مقابل دستکاری فیزیکی نیز لایه محافظتی قوی‌ای دارند تا بدین‌ترتیب نتوانند براحتی با چیزهایی چون پیچ‌گوشتی یا چاقو باز شوند. ترکیب این دو مفهوم همیشه هم جواب نمی‌دهد. پیشتر از نمونه‌های فاحش قفل‌هایی که عملکرد ضعیفی داشتند صحبت کردیم. آن‌ها شامل پدلاکی می‌شوند با یک اسکنر اثر انگشت که زیرش ظاهراً مکانیزمی بازکننده وجود دارد که به طور بالقوه برای همه قابل‌دسترسی است (اهرم). همچنین قفل هوشمند برای دوچرخه‌ها هم می‌توانند با پیچ‌گوشتی از هم جدا شوند.

دلیل دوم: ایرادات اجزای هوشمند

امنیت‌دهی به اجزای هوشمند نیز به این راحتی‌ها نیست. مهم است که یادمان باشد توسعه‌دهندگان چنین دستگاه‌هایی اغلب کارکرد را به محافظت ترجیح می‌دهندو نمونه اخیرش  Akuvox E11 که دستگاهی است طراحی‌شده نه برای استفاده در خانه که برای مقاصد کاری. Akuvox E11 یک اینترکام هوشمند است با پایانه‌ای برای دریافت استریم ویدیو از دوربین درون‌سازه‌ای به اضافه دکمه‌ای برای باز کردن در. و از آنجایی که یک دستگاه هوشمند است می‌توانید آن را از طریق اپ اسمارت‌فون نیز کنترل کنید. این نرم‌افزار طوری پیاده‌سازی شده است که هر کسی می‌تواند از دوربین هر زمانی به هم ویدیو و هم صدا دسترسی داشته باشد. و اگر به ایزوله کردن رابط وب از اینترنت فکر نکرده‌اید پس هر کسی خواهد توانست قفل را کنترل کرده و در را باز کند. این نمونه‌ای است از ناامن بودن توسعه‌ی نرم‌افزاری: درخواست‌های ویدیویی بررسی مجوز نمی‌شوند؛ بخشی از رابط وب بدون پسورد قابل‌دسترسی است و خود پسورد به دلیل رمزگذاری‌شدن با کلیدی ثابت که برای همه دستگاه‌ها یکی است می‌تواند براحتی مورد دستبرد قرار گیرد. نمونه‌های دیگر می‌خواهید؟ بسیارخوب. در این مقاله با شما از قفلی خواهیم گفت که به مهاجمین اطراف اجازه می‌دهد به پسورد شبکه وای‌فای شما دست یابند. در اینجا یک قفل هوشمند به طور ضعیفی از انتقال داده محافظت می‌کند: مهاجم می‌تواند روی کانال رادیویی استراق سمع کند و کنترل را دست گیرد.

دلیل سوم: نرم‌افزارها باید مرتباً آپدیت شوند

یک اسمارت‌فون معمولی به مدت دو یا سه سال پس از عرضه به‌روزرسانی‌ها را دریافت می‌کند. در مورد دستگاه‌های IoT با بودجه کم، ممکن است حتی زودتر از آن پشتیبانی نشود. آپدیت یک دستگاه هوشمند از طریق اینترنت نسبتاً ساده است. با این حال، حفظ پشتیبانی از دستگاه ها نیازمند منابع و پول از سوی فروشنده میسر می‌شود. این به خودی خود می‌تواند یک مشکل باشد، مانند زمانی که فروشنده زیرساخت کلود را غیرفعال کرده و دستگاه از کار می افتد. اما حتی اگر عملکرد قفل هوشمند حفظ شود، آسیب‌پذیری‌هایی که در زمان انتشار برای فروشنده ناشناخته بودند هنوز ظاهر می‌شوند.

به عنوان مثال، در سال 2022، محققین آسیب‌پذیری را در پروتکل بلوتوث کم انرژی[1] کشف کردند که بسیاری از شرکت‌ها آن را به عنوان استانداردی برای احراز هویت بدون تماس هنگام باز کردن قفل دستگاه‌های مختلف (از جمله قفل‌های هوشمند) پذیرفته‌اند. این آسیب‌پذیری در را (به اصطلاح) به روی حملات به اصطلاح رله باز می‌کند که مستلزم این است که مهاجم به صاحب قفل هوشمند نزدیک باشد و از تجهیزات ویژه (اما نسبتاً ارزان) استفاده کند. مهاجم با این سخت افزار می‌تواند سیگنال‌ها را بین گوشی هوشمند قربانی و قفل هوشمند ارسال کند.  این قفل هوشمند را فریب می‌دهد تا فکر کند تلفن هوشمند صاحب آن نزدیک است (و نه در یک مرکز خرید سه مایلی دورتر)، و در نتیجه قفل در را باز می‌کند.

نرم‌افزار قفل هوشمند به شدت پیچیده است اما احتمال اینکه آسیب‌پذیری‌های جدی در آن باشد صفر نیست. اگر یکی از این آسیب‌پذیری‌ها کشف شود فروشنده باید سریع آپدیتی عرضه کرده و آن را برای همه دستگاه‌های فروخته‌شده بفرستد اما اگر مدل دیگر تولید نشود یا دیگر از آن پشتیبانی نشود چه؟ ما با اسمارت‌فون‌ها این مشکل را حل کرده‌ایم: خرید گوشی جدید هر دو سه سال یکبار! اما هر چند وقت یک بار قصد دارید قفل درب متصل به اینترنت را تعویض کنید؟ ما عموماً انتظار داریم که چنین دستگاه هایی برای چندین دهه، نه چند سال (تا زمانی که فروشنده پشتیبانی را انجام دهد یا خراب شود) دوام بیاورند. و مهاجمین درست از همین نقطه دست به حمله می‌زنند.

چه کار باید کرد؟

باید این را درک کرد که همه قفل‌ها (نه فقط قفل‌های هوشمند) می‌توانند مورد دستبرد واقع شوند. با این حال موقع تصمیم بر سر نصب دستگاهی هوشمند به جای قفل استاندارد باید دقت داشت و از خود پرسید: آیا واقعاً نیاز است با گوشی خود در را باز کنید؟ اگر جواب مثبت است پس دست کم نکات زیر را مورد توجه قرار دهید:

•         پیش از خرید، به دنبال اطلاعات در مورد دستگاه مورد نظر باشید.
•         نه تنها دیدگاه‌ها را در مورد راحتی و قابلیت‌های قفل هوشمند بخوانید که همچنین گزارشات مشکلات احتمالی و ریسک‌ها را هم بررسی کنید.
•         دستگاه جدیدتر را برگزینید: شانس اینکه فروشنده آن را طولانی‌تر پشتیبانی دهد بیشتر است.
•         به محض خرید دستگاه، قابلیت‌های شبکه‌دهی آن را بررسی کنید و به دقت در مورد اینکه آیا به آن نیاز دارید یا نه فکر کنید؛ عقلانی‌اش این است که اگر خطرناک باشد باید غیرفعالش کرد.

[1] Bluetooth Low Energy

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.