روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  خانه‌های هوشمندِ امروزی دیگر شبیه به تصورات علمی‌تخیلی در فیلم‌های اواخر دهه ۹۰ میلادی نیستند. آن‌ها اکنون به واقعیتی برای تقریباً همه ساکنان شهرهای بزرگ تبدیل شده‌اند. به‌سختی می‌توان آپارتمانی مدرن یافت که در آن پریزهای هوشمند، بلندگو یا تلویزیون هوشمند وجود نداشته باشد. در پروژه‌های ساختمانی جدید، گاهی خانه‌ها از همان ابتدا به‌صورت هوشمند ساخته می‌شوند که نتیجه آن، شکل‌گیری مجتمع‌های مسکونی کاملاً هوشمند است.

ساکنان این خانه‌ها نه‌تنها می‌توانند دستگاه‌های داخل خانه را کنترل کنند، بلکه قادر به مدیریت سیستم‌های بیرونی مانند آیفون تصویری، دوربین‌ها، دروازه‌ها، کنتورهای هوشمند و هشداردهنده‌های آتش‌سوزی نیز هستند – آن هم فقط از طریق یک اپلیکیشن واحد. اما اگر در چنین اپلیکیشنی یک آسیب‌پذیری امنیتی وجود داشته باشد، چه اتفاقی می‌افتد؟
کارشناسان ما در تیم جهانی تحقیق و تحلیل (GReAT) پاسخ این پرسش را می‌دانند. آن‌ها یک آسیب‌پذیری در اپلیکیشن Rubetek Home کشف و ریسک‌های احتمالی آن برای صاحبان خانه‌های هوشمند را بررسی کرده‌اند – خوشبختانه این تهدیدها در عمل محقق نشدند.

جزئیات آسیب‌پذیری

این آسیب‌پذیری از نحوه ارسال داده‌های حساس در جریان ثبت لاگ‌های اپلیکیشن ناشی می‌شد.
توسعه‌دهندگان برای جمع‌آوری تحلیل‌ها و ارسال فایل‌های اشکال‌زدایی کاربران، از API بات تلگرام استفاده کرده بودند تا این اطلاعات را از طریق یک بات تلگرامی به چت خصوصی تیم توسعه ارسال کنند. مشکل اینجا بود که این فایل‌ها، علاوه بر اطلاعات سیستمی، حاوی داده‌های شخصی کاربران و مهم‌تر از همه، رفرش کردن توکن‌های لازم برای ورود به حساب کاربری بودند. مهاجمان بالقوه می‌توانستند تمام این فایل‌ها را از طریق همان بات تلگرامی به خودشان ارسال کنند. برای این کار کافی بود توکن بات تلگرام و شناسه چترا از کد برنامه استخراج کرده و سپس پیام‌های حاوی فایل‌ها را با استفاده از شماره‌های ترتیبی آن‌ها واکشی کنند.

در سال‌های اخیر، استفاده از تلگرام برای ثبت لاگ‌ها و رویدادها محبوبیت زیادی پیدا کرده است. این روش دریافت سریع اعلان‌های مهم در پیام‌رسان را ممکن می‌سازد.
با این حال، این رویکرد نیازمند احتیاط است: ما توصیه می‌کنیم از ارسال داده‌های حساس در لاگ‌های اپلیکیشن خودداری شود، و همچنین قابلیت کپی و ارسال مجدد محتوا در گروه تلگرامی از طریق تنظیمات غیرفعال گردد، یا هنگام ارسال پیام از طریق بات تلگرام، از پارامتر protect_content استفاده شود.

نکته مهم:بلافاصله پس از شناسایی این آسیب‌پذیری، ما با شرکت Rubetek تماس گرفتیم. در زمان نگارش این گزارش، مشکل برطرف شده بود.

مهاجمان احتمالی می‌توانستند به داده‌هایی که تمام اپلیکیشن‌های کاربر برای تیم توسعه‌دهنده ارسال می‌کردند، دسترسی پیدا کنند. فهرست این اطلاعات واقعاً حیرت‌انگیز است:

•          نام کامل، نشانی ایمیل یا شماره تلفن همراه، و آدرس ملک مرتبط با اپلیکیشن
•          فهرست دستگاه‌های متصل به سیستم خانه هوشمند
•          اطلاعات مربوط به رویدادهای ثبت‌شده توسط دستگاه‌های هوشمند، مانند فعال یا غیرفعال بودن سیستم امنیتی یا ثبت صداهای مشکوک توسط دوربین‌ها
•          اطلاعات سیستمی دستگاه‌های موجود در شبکه محلی خانه: آدرس MAC، آدرس IP، و نوع دستگاه
•          آدرس‌های IP برای اتصال به دوربین‌ها از طریق پروتکل WebRTC
•          تصاویر لحظه‌ای از دوربین‌های هوشمند و آیفون تصویری
•          گفت‌وگوهای کاربر با بخش پشتیبانی
•          توکن‌هایی که امکان آغاز نشست جدید با حساب کاربری را فراهم می‌کردند

کاربران هر دو نسخه اندروید و iOS در معرض این خطر قرار داشتند. اگر مهاجمان واقعاً کنترل خانه هوشمند شما را به دست آورند، چه اتفاقی می‌افتد؟ این حجم گسترده از داده‌ها می‌توانست امکان نظارت جامع را برای مهاجم فراهم کند – به‌گونه‌ای که بداند چه کسی در چه مکانی زندگی می‌کند و در چه روزهایی در خانه حضور ندارد. مجرمان می‌توانستند از برنامه روزانه افراد باخبر شوند و در زمان‌های خالی از سکنه، پس از غیرفعال‌سازی دوربین‌ها و سایر سیستم‌های امنیتی از راه دور، به‌آسانی وارد هر واحد آپارتمانی شوند. در حالی‌که چنین ورود آشکاری قطعاً مورد توجه قرار می‌گرفت، سناریوهای پنهان‌تری نیز وجود داشت. برای نمونه، مهاجمان می‌توانستند با بهره‌برداری از آسیب‌پذیری، رنگ لامپ‌های هوشمند و دمای کف خانه را به‌دلخواه تغییر دهند، یا مدام چراغ‌ها را روشن و خاموش و بدین ترتیب هزینه قابل توجهی برای صاحب‌خانه بتراشند.

آنچه این تهدید را نگران‌کننده‌تر می‌کرد، امکان هدف‌گیری نه فقط یک خانه یا واحد، بلکه هزاران ساکن یک مجتمع مسکونی بود.
البته غیرفعال‌سازی هم‌زمان سیستم‌های کنترل دسترسی از دید مدیریت ساختمان پنهان نمی‌ماند، اما سؤال اینجاست: آن‌ها با چه سرعتی متوجه موضوع می‌شدند و در این فاصله، چه آسیب‌هایی می‌توانست به ساکنان وارد شود؟

چگونه خانه هوشمند خود را ایمن نگه داریم؟

به یاد داشته باشید که نوع آسیب‌پذیری‌هایی که در این گزارش به آن‌ها اشاره شد، ممکن است در سایر اپلیکیشن‌های خانه هوشمند نیز وجود داشته باشد. به‌عنوان یکی از میلیون‌ها کاربر، تقریباً هیچ راهی برای اطلاع از این‌که آیا یک اپلیکیشن مورد نفوذ قرار گرفته یا خیر در اختیار ندارید.
بنابراین، اگر متوجه کوچک‌ترین نشانه‌های فعالیت مشکوک شدید – مانند اضافه شدن افراد ناشناس به فهرست مهمان‌ها، باز و بسته شدن غیرمجاز درها یا دروازه‌ها و موارد مشابه – توصیه می‌کنیم فوراً با مدیر اپلیکیشن یا شرکت ارائه‌دهنده تماس بگیرید. اما در سناریویی رایج‌تر، مانند استفاده از دستگاه‌های هوشمند صرفاً در داخل آپارتمان خود، بدون وجود مدیر شبکه، پیشنهاد می‌کنیم نکات زیر را رعایت کنید:

1.      مودم یا روتروای‌فایخود را ایمن کنید:رمز عبور پیش‌فرض را با رمزی قوی جایگزین کنید، قابلیت WPS را غیرفعال کرده و از رمزگذاری WPA2 استفاده نمایید.
2.      یک شبکه وای‌فای جداگانه برای دستگاه‌های خانه هوشمند خود ایجاد کنید و برای آن رمزی متفاوت تعیین کنید. روترهای مدرن از شبکه مهمان  پشتیبانی می‌کنند؛ بنابراین اگر، مثلاً، یک گهواره هوشمند هک شود، مهاجمان به رایانه‌ها یا گوشی‌های هوشمند شما دسترسی پیدا نخواهند کرد.
3.      از اپلیکیشنکسپرسکی پریمیوماستفاده کنید تا به‌طور منظم شبکه خود را از نظر وجود دستگاه‌های ناشناس بررسی نمایید. اگر همه‌چیز در وضعیت نرمال باشد، ابزار Smart Home Monitor فقط اطلاعات دستگاه‌های شما را نمایش خواهد داد.
4.      برای هر دستگاه رمز عبور قوی تعریف کنید.نیازی به حفظ کردن این رمزها نیست – می‌توانید از Kaspersky Password Manager برای مدیریت آن‌ها استفاده کنید.
5.      به‌روزرسانی سفت‌افزار تمام دستگاه‌های هوشمند خود – از جمله روتر – را به‌طور منظم انجام دهید.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.