اخیرا طی تحقیقاتی مشخص شده است که سرویس ردیابی SE ساعتهای هوشمند دچار یکسری مشکلات امنیتی است.
منبع : سایبربان
اخیرا طی تحقیقاتی مشخص شده است که سرویس ردیابی SE ساعتهای هوشمند دچار یکسری مشکلات امنیتی است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان اعلام کردند یکسری مشکلات جدی امنیتی در ردیاب ساعتهای هوشمند وجود دارد. به خصوص ردیابهایی که مورد استفاده اپلیکیشنهای حامی افراد مسن و آسیبپذیر هستند.
کارشناسان امنیت سایبری سرویس Pen Test Partners خبر از وجود مشکلات امنیتی در سرویس ردیابی SE دادند.
این سرویس، نرمافزاری است که برای کودکان ، افراد دچار زوال عقل و کسانی طراحی شده است که برای انجام فعالیتهای روزانه خود، به یادآوری نیاز دارند. مانند کسی که باید روزانه قرص مصرف کنند.
پرستاران میتوانند با استفاده از این اپلیکیشن همراه با ساعت مچی هوشمند از کار ایی که موظف به انجام آن هستند آگاه شوند. از طرفی افراد مسن مذکور هم میتوانند در صورت نیاز به کمک با پرستاران خود به وسیله این سیستم تماس بگیرد.
این برنامه با بیش از ۱۰ میلیون دانلود ،هم اکنون در آی او اس و اندروید قابل دسترسی است. با این حال، مشکلات امنیتی نشاندهنده آن هستند که یکسری از افراد مازاد بر پرستاران و عزیزانمان از موقعیت و فعالیت کاربران آگاه هستند و آنها را رصد میکنند.
طبق گفته سرویس pen Test Partners، اولین مشکل بزرگ امنیتی، شناسایی سروری نامحدود به سازمان سرویسدهی اینترنت شرکت APL بود.
این سرور میتوانست به شیوه های مختلفی مانند تعویض رمز عبور دستگاه، برقراری تماس، فرستادن پیام متنی، تجسس کردن و دسترسی به دوربین تعبیه شده در دستگاه، برای به دست گرفتن کنترل سرویس ردیابی SEمورد استفاده قرار بگیرد.
در صورتی که سیستم نظارت پشتیبانی مبتنی بر ردیاب SE باشد، این امکان وجود دارد تا با ارسال پیام جعلی به کاربران با عنوان «قرصها رو بخور» زمان مصرف دارو را به آنها یادآوری کند.
محققان عنوان کردند: اوردوز برای فردی که به آلزایمر مبتلا است و نمیتواند زمان مصرف داروی خود را به یاد بیاورد، اتفاقی محتمل به شمار میرود.
محققان همچنین به کد منبع نرمافزار دسترسی پیدا کردند. کدی است که به صورت تصادفی از طریق یک node جاگذاری شده منتشر شده بود.
کد سمت سرور، گذر واژه MySQL, ایمیل، اساماس , اعتبارنامه دیتابیس Retis و گذرواژه هاردکد در کد منبع (۱۲۳۴۵۶) همگی قابل مشاهده بودند. بانک اطلاعاتی حاوی تصاویر کاربران نیز در معرض سوءاستفاده بود.
کد منبع نشان داد که این فایل، جایی است که همه عکس های گرفته شده توسط دستگاه ارسال میشوند.
شرکت Pen Test Partners گفت: ما این ادعا را تایید نکردهایم. اما از آنجایی که این دستگاه عمدتا کار ردیابی کودکان را انجام میدهد، بسیار محتمل است که این عکس ها، تصاویر کودکان باشند.
استفاده از این مشکلات امنیتی در مقیاس بزرگتر در هالهای از ابهام قرار دارد. شرکت Pen Test Partners در ۲۲ژانویه، یافته های خود را به ۳G electronics اعلام کرد.
درنهایت 3G electronics در ۲۹می اعلام کرد که فایل مورد نظر حذف شده است و همه گذرواژهها تغییر کردهاند.