پلتفرم SmartThings سامسونگ دارای مشکل امنیتی جدی است

موبنا -محققان دانشگاه میشیگان مشکلاتی را در پلتفرم SmartThings سامسونگ کشف کرده‌اند که به اپلیکیشن‌های مخرب اجازه می‌دهد قفل‌های هوشمند درب‌ها را باز کنند، کد دسترسی به خانه را تنظیم کنند، هشدارهای مرتبط با دود را غیرفعال کنند یا دستگاه‌ها را در حالت خواب قرار دهند و موارد دیگری از این قبیل. البته برای انجام چنین کارهایی کاربر ابتدا باید اپلیکیشن مخرب را از فروشگاه SmartApps دانلود و نصب کرده یا بر روی لینک مخرب کلیک کند.

این محققان اعلام کرده‌اند که چندین مشکل در فریم‌ورک SmartThings وجود دارد، اما مهم‌ترین ایراد، ارائه‌ی دسترسی‌های زیاد به اپلیکیشن‌ها است؛ در حالیکه این اپ‌ها نیازی به بیشتر این دسترسی‌ها ندارند. به عنوان مثال یک قفل هوشمند احتمالا فقط نیاز دارد تا قابلیت قفل کردن از راه دور خود را داشته باشد؛ اما API های کنونی SmartThings این دستور را با مجموعه‌ی دیگری از فرامین به صورت یکجا ارائه می‌دهد که همین موضوع به هکرها اجازه می‌دهد تا بتوانند حملات فیزیکی را نیز انجام دهند. دسترسی‌های اضافه دیگر شامل روش‌های اتصال اپلیکیشن‌های این پلتفرم به دستگاه‌ها می‌شود. هنگامی‌که کاربری یک SmartApp را نصب می‌کند، از وی درخواست می‌شود تا دسترسی لازم را برای کارکرد اپلیکیشن صادر کند. پس از نصب اپ مورد نظر، به دلیل قابلیت SmartThings برای همگام‌سازی دسترسی‌ها، این پلتفرم لیستی از دستگاه‌های قابل استفاده با اپلیکیشن را ایجاد می‌کند؛ علاوه بر این باعث می‌شود تا دسترسی بیشتری از آنچه که اپ نیاز دارد به آن داده شود.

برای مشخص شدن موضوع، محققان از یک اپلیکیشن نمونه را که کار آن نظارت بر مصرف باتری در دستگاه‌های مختلف است، استفاده کردند. اگر کاربر اجازه‌ی لازم را برای نصب اپلیکیشن مخرب که به‌نظر اپلیکیشن سالمی است بدهد، اپ یاد شده می‌تواند به قفل‌های هوشمند دسترسی یابد و سپس محققان نه تنها قادر به نظارت بر باتری خواهند بود، بلکه می‌توانند به دیگر ویژگی‌های دستگاه‌ها نیز دسترسی داشته باشند که از جمله‌ی این دسترسی‌ها می‌توان به باز کردن قفل درب اشاره کرد. این محققان دریافتند که ۴۲ درصد از ۴۹۹ اپلیکیشن فروشگاه SmartApp به همین طریق دسترسی بیشتری از آنچه که واقعا نیاز است را در اختیار دارند.

برای اثبات وجود این مشکل، محققان همچنین با استفاده از دسترسی‌های اضافه‌ی صادر شده برای اپلیکیشن‌ها، توانستند پین‌کد مورد نظر خود را برای یک قفل هوشمند تنظیم کنند که این کار به آن‌ها اجازه می‌دهد یک راه بازگشت (Back-door) امن ایجاد کنند.

البته برای چنین کاری نیاز است تا کاربر تعامل خاصی را انجام دهد؛ اما محققان نشان دادند که بسیاری از مردم بدون اینکه توجهی به دسترسی‌ها داشته باشند یا حتی آن‌ها را بخوانند، مجوز لازم را برای اپلیکیشن‌های پلتفرم SmartThings صادر می‌کنند. این محققان از ۲۲ نفر از کاربران پلتفرم یاد شده نظرسنجی به عمل آوردند. ۹۱ درصد از این افراد گفته‌اند که به اپلیکیشن نظارت بر باتری اجازه می‌دهند تا به قفل هوشمند آن‌ها نیز دسترسی داشته باشد و در نتیجه دسترسی لازم را برای انجام عملیات‌هایی که می‌توان با قفل هوشمند انجام داد نیز در اختیار اپ مورد بحث قرار می‌گیرد. تنها ۱۴ درصد از افراد شرکت‌کننده در این نظرسنجی این نکته را می‌دانستند که اپلیکیشن باتری کدهای دسترسی را به یک سرور راه دور ارسال می‌کند.

این اولین باری نیست که چنین مشکلاتی را در دستگاه‌های هوشمند متصل به یکدیگر در پلتفرم‌های مختلف مشاهده می‌کنیم. پیش از این و در اوایل سال میلادی جاری، مشکل سیستم امنیتی خانگی Comcast یک هکر را قادر ساخت تا براحتی وارد خانه‌ی مورد نظرش شود. اما مشکلات SmartThings می‌توانند در آینده هم باعث ایجاد مسائل امنیتی در کسب‌ و کارهایی شوند که از این پلتفرم استفاده می‌کنند. حدود دو سال قبل یعنی وقتی که مبحث اینترنت اشیاء تازه مطرح شده بود، سامسونگ SmartThings را خریداری کرد. حالا شاهد این هستیم که تقریبا هر چیزی به اینترنت متصل می‌شود.

SmartThings در ایمیلی که در مورد این مشکلات امنیتی به وب‌سایت The Verge ارسال کرده، بیان داشته که روش جلوگیری از بروز این مشکلات و نحوه‌ی امن نگه‌داشتن کدهای منبع، به صورت یک بروزرسانی در بخش اسناد مرتبط با توسعه‌دهندگان ارائه شده است.

یکی از نمایندگان پلفترم SmartThings در این رابطه می‌گوید: «این آسیب‌پذیری‌های بالقوه در گزارش، بر اساس دو سناریو نشان داده شده‌اند. اولین سناریو، نصب یک SmartApp مخرب و دومین آن، عدم توانایی توسعه‌دهندگان در دنبال کردن و استفاده از راهنمای ارائه شده SmartThings در بخش روش‌های امن نگه داشتن سورس‌کدها است.» وی در ادامه اینگونه بیان داشته: «با منتشر شدن این گزارش، ما پلفترم مورد اشاره را بروزرسانی‌ کردیم تا راهنمای ایجاد امنیت بیشتر را به توسعه‌دهندگان ارائه کنیم.»

این غول کره‌ای همچنین اعلام کرده که بخش بازبینی اپلیکیشن‌ها نیز باعث می‌شود تا اپلیکیشن‌های مخرب پیش از اینکه مشکلی ایجاد کنند شناسایی و متوقف شوند. با این‌حال تیم تحقیق دانشگاه میشیگان هنوز هم این تلاش‌ها را کافی نمی‌داند.

این محققان در ادامه اینگونه بیان داشته‌اند: «دستگاه‌های هوشمند خانگی و پلتفرم‌هایی که برای برنامه‌نویسی آن‌ها مورد استفاده قرار می‌گیرند در حال گسترش هستند و روز به روز بیشتر مورد توجه افراد قرار می‌گیرند؛ چراکه قابلیت‌های کاربری بسیار خوبی را ارائه می‌دهند. در هر حال بر اساس یافته‌های مورد اشاره، باز هم بهتر است احتیاط لازم رعایت شود؛ چه از جانب طراحان فریم‌ورک و چه از جانب افراد مصرف‌کننده. این مشکلات امنیتی مشخص هستند و بعید به نظر می‌رسد به آسانی و تنها با ارائه وصله‌های امنیتی بتوان نسبت به رفع آن‌ها اقدام کرد.

 منبع: زومیت|نویسنده: مجتبی بوالحسنی