۶ شهریور ۱۳۹۷

پنل های لمسی و کارتخوان های اعتباری هدف مجرمان سایبری

بسیاری از دستگاه هایی که روزانه با آن ها سرکار دارید و فکر می کنید از نظر امنیتی کمترین خطر را دارند، می توانند بسیار ناامن و پرخطر باشند. این موضوع یکی از جدیدترین تحقیقات حوزه امنیت است که اخیرا توسط Ricky Lawshae پژوهشگر امنیتی شرکت Trend Micro در کنفرانس DefCon ارائه شد.

 

Lawshae بیش از دوازده آسیب پذیری در دستگاه های شرکت Crestron که مورد استفاده موسسات، فرودگاه ها، ورزشگاه ها و بخش های حکومتی در ایالت متحده آمریکا می باشد را کشف کرد. هرچند Crestron یک وصله نرم افزاری برای رفع این مشکلات منتشر کرد، با این حال بعضی از این آسیب پذیری به هکرها این امکان را می دهند که از پنل های لمسی اندرویدی این شرکت که در بسیاری از ادارات و هتل ها استفاده می شود به عنوان ابزار جاسوسی بهره کشی کنند.

بیایید کمی بیشتر با شرکت Crestron آشنا شویم. این شرکت در واقع یک شرکت طراحی تجهیزات الکترونیکی است که عموما تجهیزات بخش های سازمانی، کنفرانس ها، هتل ها و سالن های کنسرت را طراحی می کند. این دستگاه ها قابل برنامه ریزی هستند و می توانند به نیازمندی های هر سازمانی پاسخ دهند. با توجه به گفته خود شرکت که در وب سایت آن نیز آمده است، تجهیزات طراحی شده توسط این شرکت در موسساتی مانند اکسان‌موبیل، بویینگ، تارگت، توییتر، بوز آلن همیلتون، مایکروسافت و سایرشرکت ها استفاده می شود. همچنین سناتور های ایالت ویرجینیا از پنل های این شرکت برای رای دادن به لایحه ها استفاده می کنند. پس به نظر می رسد که آسیب پذیر بودن این تجهیزات می‌تواند خطرات زیادی برای سازمان ها و بخش های مختلف دولتی و خصوصی داشته باشد.

ارائه Lawshae تمرکز اصلی خود را به طور خاص بر روی سیستم کنترلی Crestron’s MC3 و همچنین پنل های لمسی شرکت با نام TSW-X66 که به ترتیب در بستر ویندوز و اندروید اجرا می شوند، قرار داده است.

او به سرعت متوجه شد که در این دستگاه ها سیستم های تایید هویت به طور پیشفرض غیر فعال هستند. در واقع در بیشتر مواقع این دستگاه ها توسط یک تکنسین نصب و راه اندازی می شوند و به این معناست که یک مهندس فناوری اطلاعات در صورت لزوم می تواند به طور داوطلبانه این محافظت کننده های امنیتی را فعال کند. افرادی که از این دستگاه ها استفاده می کنند فارغ از این که اهمیت این سیستم ها را درک کنند، بسیاری از اوقات حتی نمی دانند که چنین سیستم های محافظتی وجود دارد.

Lawshae می گوید: “سیستم احراز هویت در دسترس قرار دارد و بسیار مناسب است. اما همگی به طور پیشفرض غیر فعال هستند و کاربران عمومی حتی نمی دانند که این سیستم وجود دارد و باید با رمز محافظت شود.”.

تجهیزات Crestron درهای پشتی (Backdoor) را دارا هستند که با رمز محافظت شده اند. اما متاسفانه این شرکت دستگاه های خود را با الگوریتمی که در ابتدا برای تولید رمزعبور استفاده می کند پیش می برد و یک کاربر معمولی می‌تواند از این اطلاعات استفاده کند و با انجام مهندسی معکوس، رمز عبور را بدست آورد.

Lawshae همچنین بیش از دوازده آسیب پذیری دیگر در این تجهیزات کشف کرد که می‌توان آن ها را اکسپلویت کرده و از این تجهیزات به عنوان ابزاری برای استراق سمع و جاسوسی استفاده کرد. با استفاده از قابلیت های پنهانی که او کشف کرد می‌توان از راه دور به وسیله میکروفون صدا ها را ضبط کرد و آن ها را به فایل قابل دانلود تبدیل کرد. همچنین میتوان از راه دور یک ویدئو یا یک صفحه وب را در یک اتاق کنفرانس پر از شرکت کننده نمایش داد!

ضعف های امنیتی دیگری نیز می‌تواند توسط یک فرد آشنا، پرسنل یک سازمان و به طور کلی کسی که دسترسی فیزیکی به ساختمان دارد مورد سوء استفاده قرار گیرد. برای مثال در هتلی که از پنل های لمسی Crestron در اتاق هایش استفاده می کند، یک مهمان که از قضا هکر نیز می باشد می‌تواند به راحتی این پنل های لمسی را به یک مجموعه ای از وبکم ها تبدیل کند.

شرکت Crestron یک اصلاحیه برای این آسیب پذیری صادر کرده و بروزرسانی های آن هم اکنون در دسترس هستند. انجام تمامی بروزرسانی ها با توجه به گفته Nick Milani مدیر اجرایی بازاریابی محصولات این شرکت لازم و ضروری است.

سازمان NCCIC نیز که بخشی از وزارت امنیت داخلی ایالات متحده است اطلاعیه را در خصوص این آسیب پذیری صادر کرده است.

هر چند شما احتمالا Crestron را نمی شناختید و تاکنون هیچگاه اسمی از آن نشنیده بودید با این حال تجهیزات و دستگاه های این شرکت در مکان های عمومی که هر روزه با آن ها برخورد دارید نصب شده اند و مورد استفاده قرار می گیرند. تحقیقات Lawshae به ما یادآوری می کند که امنیت سایبری فقط مختص لپ تاپ ها و تلفن های همراه نیست و تمامی چیزها از پنل های لمسی گرفته تا کارتخوان های اعتباری و دیگر موارد همگی می‌توانند هدف هکر ها و مهاجمان قرار گیرند.

 

قطعا با پیشرفت تکنولوژی و افزایش تعداد دستگاه ها و تجهیزات متصل به اینترنت این گونه آسیب پذیری ها افزایش خواهد یافت و همواره باید جنبه های امنیتی این دستگاه ها لحاظ گردد.

 

منابع

[۱] “HACKABLE TOUCHSCREENS COULD SPY ON HOTEL ROOMS AND MEETINGS,” https://www.wired.com/story/crestron-touchscreens-could-spy-on-hotel-rooms-and-meetings/ , August 2018.