المنزل غير الذكي تمامًا

اكتشف خبراؤنا في GReAT ثغرة أمنية خطيرة في تطبيق للتحكم بالمنزل الذكي، سمحت للمهاجمين بتعطيل أنظمة الأمان المادية

  • GReAT

لا تشبه المنازل الذكية اليوم قصص الخيال العلمي في أفلام أواخر التسعينيات. وقد أصبحت حقيقة واقعة تقريبًا لكل شخص يعيش في مدينة كبيرة. وستجد صعوبة في العثور على شقة حديثة بدون مقابس كهرباء ذكية أو مكبر صوت ذكي أو تلفزيون ذكي. وفي الإنشاءات الجديدة، سترى أحيانًا منازل مبنية بتقنيات ذكية من البداية، مما ينتج عنه مجمعات سكنية ذكية بأكملها. ويمكن للمقيمين ليس فقط إدارة أجهزتهم داخل شققهم، بل يمكنهم أيضًا إدارة الأنظمة الخارجية مثل أجهزة الاتصال الداخلي والكاميرات والبوابات وعدادات المرافق وأجهزة إنذارات الحريق – كل ذلك من خلال تطبيق واحد.

لكن ماذا يحدث عند العثور على ثغرة أمنية في تطبيق كهذا؟ يعرف خبراؤنا في فريق البحث والتحليل العالمي (GReAT) الإجابة. وقد اكتشفوا ثغرة أمنية في تطبيق Rubetek Home واستكشفوا المخاطر الأمنية المحتملة لمالكي المنازل الذكية، والتي، لحسن الحظ، لم تتحقق.

تفاصيل الثغرة الأمنية

نشأت هذه الثغرة الأمنية من إرسال التطبيق لبيانات حساسة أثناء عملية التسجيل الخاصة به. واستخدم المطورون Telegram Bot API لجمع التحليلات وإرسال ملفات معلومات تصحيح الأخطاء من المستخدمين إلى محادثة خاصة بفريق التطوير عبر برنامج روبوت Telegram.

كانت المشكلة أن هذه الملفات، بالإضافة إلى معلومات النظام، احتوت على بيانات المستخدمين الشخصية، والأهم من ذلك، رموز التحديث المطلوبة للسماح بالوصول إلى حساب المستخدم. وكان بإمكان المهاجمين المحتملين إعادة توجيه كل هذه الملفات إلى أنفسهم باستخدام برنامج روبوت Telegram نفسه. ولفعل ذلك، يمكنهم الحصول على رمز Telegram المميز ومعرف المحادثة من التعليمات البرمجية للتطبيق، ثم التكرار من خلال الأرقام المتسلسلة للرسائل التي تحتوي على الملفات.

في الآونة الأخيرة، أصبح تسجيل الأحداث عبر Telegram يحظى بشعبية متزايدة. ومن المريح والسريع تلقي الإخطارات المهمة في برنامج المراسلة. لكن هذا النهج يتطلب الحذر: نوصي بعدم إعادة توجيه البيانات الحساسة في سجلات التطبيق، بالإضافة إلى منع نسخ وإعادة توجيه المحتوى من المجموعة في إعدادات Telegram أو استخدام معلمة protect_content عند إرسال رسالة من خلال برنامج روبوت Telegram.

ملاحظة هامة: تواصلنا مع Rubetek فور اكتشاف الثغرة الأمنية. وفي وقت نشر هذا المنشور، كانت المشكلة قد تم إصلاحها.

كان بإمكان المهاجمين المحتملين الوصول إلى البيانات التي كانت جميع تطبيقات المستخدم ترسلها إلى المطور. وكانت قائمة هذه البيانات مذهلة:

  • الاسم الكامل، وعنوان البريد الإلكتروني أو رقم الهاتف المحمول، وعنوان العقار المرتبط بالتطبيق
  • قائمة بالأجهزة المربوطة بنظام المنزل الذكي
  • معلومات عن الأحداث التي تم تسجيلها بواسطة الأجهزة الذكية، مثل ما إذا كان نظام أمان المنزل قيد التفعيل أم لا، أو ما إذا كانت الكاميرات قد التقطت أي أصوات مريبة
  • معلومات النظام عن الأجهزة الموجودة داخل الشبكة المنزلية المحلية: عنوان MAC وعنوان IP ونوع الجهاز
  • عناوين IP للاتصال بالكاميرات عبر بروتوكول WebRTC
  • لقطات من الكاميرات الذكية وأجهزة الاتصال الداخلي
  • محادثات المستخدم مع شكل المساعدة
  • الرموز المميزة التي تسمح ببدء جلسة جديدة باستخدام حساب المستخدم

كان مستخدمو تطبيقات نظامي Android وiOS في خطر.

ماذا يحدث إذا سيطرت جهات خبيثة بالفعل على منزلك الذكي؟

كان من الممكن أن يسمح هذا النطاق الواسع من البيانات بمراقبة شاملة – يسمح هذا بمعرفة من يعيش في أي مكان وفي أي الأيام لا يكون في المنزل. وكان بإمكان المجرمين معرفة جدول مواعيد شخص ما، وخلال تلك الساعات الفارغة، يمكنهم الدخول إلى أي شقة بعد تعطيل الكاميرات وأنظمة الأمان الأخرى عن بعد عبر التطبيق.

بينما كان من المؤكد ملاحظة مثل هذا الاقتحام الصارخ، إلا أن هناك احتمالات أخرى أكثر دقة. على سبيل المثال، كان بإمكان المهاجمين، من خلال استغلال الثغرة الأمنية، تغيير ألوان المصابيح الذكية ودرجات حرارة الأرضيات عن بُعد، وتشغيل الأنوار وإطفائها إلى ما لا نهاية، مما يتسبب في خسارة مالية ملحوظة لأصحاب المنازل.

الأمر الأكثر إثارة للقلق كان احتمال أن يستهدف المهاجم ليس شقة أو منزلًا واحدًا فحسب، بل آلاف السكان في مجمع كامل. بالطبع، لن يمر تعطيل أنظمة التحكم بالوصول بشكل متزامن دون أن تلاحظه إدارة المبنى، لكن ما مدى سرعة اكتشافهم لما يحدث، وما الضرر الذي قد يلحق بالسكان في هذه الأثناء؟

كيفية تأمين منزلك الذكي

ضع في اعتبارك أن أنواع الثغرات الأمنية التي نناقشها قد تكون موجودة في تطبيقات أخرى للمنازل الذكية أيضًا. وبصفتك واحدًا من بين ملايين العملاء، فليس لديك أي طريقة تقريبًا لمعرفة ما إذا كان التطبيق قد تعرض للاختراق أم لا. لذلك، إذا لاحظت حتى أدنى أنواع النشاط المشبوه، مثل وجود أشخاص جدد في قائمة الضيوف الخاصة بك، أو الفتح والإغلاق غير المصرح به للبوابات والأبواب، وما إلى ذلك، فنحن نوصي بالاتصال بمسؤول التطبيق والبائع في أقرب وقت ممكن.

بالعودة إلى سيناريو أكثر شيوعًا، مثل استخدام الأجهزة الذكية داخل شقتك الخاصة مع عدم وجود مسؤول شبكة للجوء إليه، نوصي باتباع القواعد التالية:

  • قم بتأمين جهاز توجيه Wi-Fi الخاص بك عن طريق تغيير كلمة المرور الافتراضية إلى كلمة مرور أقوى، وتعطيل WPS، وتمكين تشفير WPA2.
  • أنشئ شبكة Wi-Fi مخصصة لأجهزتك المنزلية الذكية، وقم بتعيين كلمة مرور مختلفة لها. وتدعم أجهزة التوجيه الحديثة شبكات الضيوف، لذلك حتى إذا تعرض سرير أطفال ذكي للاختراق، فلن يتمكن المجرمون من الوصول إلى أجهزة الكمبيوتر أو هواتفك الذكية.
  • استخدم تطبيق Kaspersky Premium لفحص شبكتك بانتظام للبحث عن الأجهزة غير المصرح بها. وإذا كان كل شيء على ما يرام، فلن يعرض مكون مراقبة المنزل الذكي سوى معلومات عن أجهزتك.
  • قم بتعيين كلمات مرور قوية لكل جهاز. ولست مضطرًا لحفظها: يستطيع Kaspersky Password Manager التعامل مع ذلك.
  • احرص على تحديث البرامج الثابتة بانتظام لجميع أجهزتك الذكية – بما في ذلك جهاز التوجيه الخاص بك.

تحقق من الروابط التالية لاستكشاف المخاطر المحتملة الأخرى لمنزل ذكي تعرض للاختراق وطرق حماية عقارك.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

اشترك حتى يصلك جديدنا على بريدك الإلكتروني
  • جميع الدول الاخرى