به گزارش سافت گذر به نقل ازمجله شبکه؛ چقدر
طول میکشد تا شارژ باتری گوشی تمام شود؟ کدام گوشی برای من بهتر است؛ اپل
یا اندروید؟ آیا میتوانم با استفاده از آن پول غذایم را پرداخت کنم؟ در
لیست پرسش و پاسخهای ساعت هوشمند جای نکتهای خالی مانده است؛ نکتهای که
بهشدت به چشم میآید: این گجت تا چه اندازه امن است؟
وقتی
همه افراد از جمله مسئولان فناوری به تنها چیزی که فکر میکنند ویژگیهای
فوقالعاده و مدت زمانی است که این ساعتهای مچی میتوانند شارژ نگه دارند؛
چه انتظاری میتوان داشت که کسی بر امنیت ساعت هوشمند تأکید کند. آیا این
وسایل هکشدنی هستند؟ آیا کسی قادر است آنها را هک کند؟ آیا مستعد پذیرش
بدافزارها هستند؟ اگر ساعت شما گم یا دزدیده شود ممکن است اطلاعات شخصیتان
بهراحتی فاش شود؟ آیا امکان دارد از راه دور بتوان اطلاعات آن را پاک کرد؟
شاید
همه ما هرچند روز یکبار اینگونه سؤالات را درباره گوشیهای هوشمندی که
در دست داریم بپرسیم؛ گوشیهایی که پوشیدنیها میتوانند با آنها تعامل
نزدیک داشته باشند. البته هنوز کسانی که از اولین خریداران این پوشیدنی
بودهاند یا حتی رسانهها که معمولاً از دامن زدن به داستانهای هراسآور
واهمهای ندارند، بهطور عجیبی درباره امنیت ساعت هوشمند سکوت کردهاند.
بهنظر میرسد که هر دو گروه چشمهای خود را بر روی خطرات احتمالی
بستهاند.
وقتی درباره امنیت ساعت هوشمند صحبت میشود، اولین مانعی که
باید از پیشرو برداشته شود پذیرفتن جدیبودن این نگرانی است. شاید با خود
بگویید گجتی که روی مچ دستتان قرار دارد صفحهمانیتور کوچک و احمقی است که
با گوشیهوشمندتان در ارتباط است. این اولین چیزی است که به ذهن میرسد.
بهعلاوه برخی میگویند اگر امنیت گوشیای که در دست داریم در معرض خطر
قرار نگیرد؛ برای ساعت هم اتقافی نمیافتد.
اما
در دنیای واقعی داستان چیز دیگری است. این مسئله در تحقیقی که بهتازگی
محققان ترند مایکرو انجام دادهاند کاملاً مشهود است. آنها در تستهای
نفوذی که روی برخی از ساعتهای هوشمند بنام بازار انجام دادند، متوجه شدند
که امنیت این گجتها از اهمیت بسیار زیادی برخوردار است. از جمله مدلهایی
که در این تحقیق استفاده شدند میتوان از ساعت اپل، موتورولا موتو 360 و
ساعت پبل نام برد که از نظر محافظت سختافزاری، ارتباطات اطلاعاتی و فضای
ذخیره دیتای محلی بررسی شدند. یکی از مشاوران امنیت سایبری ترندمایکرو
بهنام «باراتمیستری» در اینباره میگوید: «کاملاً مشخص است که سازندگان و
تولیدکنندگان، امنیت را فدای راحتی کردهاند. در تحقیقات صورتگرفته متوجه
شدیم که تمام این ساعتها اطلاعات را بهصورت محلی ذخیره میکنند که اگر
از محدوده گوشی که با آن در ارتباط است خارج شود؛ هکرها میتوانند بهراحتی
به اطلاعات روی آن دسترسی داشته باشند.»
این
مسئله که ساعت هوشمند همیشه روشن است، بهخودیخود خطر بیشتری را نسبت به
گوشی متوجه آن میکند. ساعت همیشه روی مچ بسته شده است؛ اما گوشی میتواند
در جیب یا کیف قرار داشته باشد
هم
اپل و هم ساعتهای اندرویدی نوتیفیکیشنهای خواندهنشده را به همراه
اطلاعات تناسب اندام و تقویم ذخیره میکنند. اپل بهغیر از این موارد عکس؛
پسبوک (Passbook) و لیست مخاطبان را هم اضافه میکند. میستری درباره این
مسئله هشدار میدهد و میگوید: «از آنجاییکه اطلاعات پسبوک میتواند
شامل موارد حساسی مانند بلیط پرواز باشد؛ دارندگان ساعتهای هوشمند باید
همانقدر که به گوشیهای خود حساس هستند در قبال این وسیله هم حساسیت نشان
دهند.»
توجه به این نکته که اطلاعات سینک شده میتوانند از طریق
اینترفیس ساعت هم قابل خواندن باشند، نگران کننده است؛ اما موضوعی که بیشتر
باعث نگرانی و اضطراب میشود این است که ساعت اپل اطلاعات بیشتری را در
مقایسه به مدلهای اندرویدی ذخیره میکند. برخی عقیده دارند که ساعتهای
هوشمند فقط در محیطهای خارج از محدوده گوشی، هوشمند هستند، اما تحقیق
ترندمایکرو ثابت میکند که این تصور کاملاً غلط است.
بهتازگی اچپی هم
تحقیقات اختصاصی خود را روی امنیت ساعتهای هوشمند آغاز کرده و یافتههای
آن ممکن است چندان به مذاق خواننده خوش نیاید. تمام این ساعتها نقاط ضعف
زیادی دارند که امنیت آنها را بهخطر میاندازد؛ بهطوریکه اچپی از
آنها بهعنوان مزر جدید و باز برای حملات سایبری یاد میکند.
اچپیفورتیفای در گزارش خود از نگرانیهایش در اینباره میگوید: «احراز
هویت کاربر کافی نیست؛ اینترفیسهای وب ناامن که به هکرها کمک میکند، با
بهکارگیری مکانیزم ریستکردن گذرواژه کاربران، حساب آنها را هک کنند و
اینکه رمزنگاری که روی اطلاعات ارسالی انجام میشود بهشدت ضعیف و ناکارآمد
است. مورد آخر برای کسانیکه در صنعت امنیت هستند بسیار اهمیت دارد و
نگرانیهای زیادی را موجب شده است. با اینکه تمام گجتها از SSL/TSL
استفاده میکنند؛ اما نتیجه تحقیقات اچپی نشان میدهد که ۴۰ درصد ساعتها
یا در برابر حملات POODLE آسیبپذیر هستند یا اینکه هنوز از پروتکلهای
قدیمی مانند SSL 2.0 استفاده میکنند.» سیمئونکانی مدیر استراتژی شرکت
Adaptive
Mobile معتقد است امکان پینگکردن بدون مجوز پیغامهای کاربران بیش از
اندازه نگران کننده است. او در اینباره میگوید: «یکی از اساسیترین خطرات
امنیتی که در ساعتهای هوشمند دیده میشود همانی است که در گوشیهای
هوشمند هم رایج است؛ اینکه کاربران را تشویق میکنند تا با نگاه کردن مختصر
و اجمالی به نوتیفیکیشنها جواب دهند. به این ترتیب هکرها میتوانند با
سودجویی از این رفتار از روشهایی برای تماس با کاربر استفاده کنند که
اصلاً موشکافی نمیشوند. یعنی درست نقطه مقابل دریافت ایمیل روی پیسی که
از همه نظر بررسی میشود.»
او
اضافه میکند: «هر نوع تعاملی که در آن کاربر اطلاعات کامل بهمنظور مشخص
کردن دسترسی قانونی را نداده باشد یا اینکه خود دستگاه یا اکوسیستم اسکن
امنیت را بهطور خودکار قبل از ارسال آن انجام ندهد، میتواند آسیبپذیر
باشد.»
نکته بعدی که با آن روبرو هستیم، ارائه فریمورهای بهروزرسانی
بدون هیچگونه رمزنگاری روی مکانیزم نقلوانتقال یا روی خود
بهروزرسانیهاست که میتواند دردسرساز شود. البته با توجه به اینکه
بسیاری از بهروزرسانیها از امضای دیجیتالی برای جلوگیری از نصب مخربها
استفاده میکنند، کمبود رمزنگاری به امکان دانلود آسانتر و آنالیز آنها
توسط خرابکاران کمک میکند. همچنین در این گزارش گفته شده که مقصر اصلی
باز هم شرکتهای سازنده و تولیدکننده هستند که بهجای بهکارگیری بستههای
امنیتی مناسب، بیشتر بر طراحی و ویژگیهای سختافزاری ساعتها تمرکز
میکنند.
کنمانرو؛ شریک ارشد شرکای پنتست که یکی از حرفهایها در
زمینه تست نفوذ است در اینباره میگوید: «قسمتی از مشکلات امنیتی مرتبط با
ساعتهای هوشمند به تحول آنها برمیگردد؛ تحولی که کمک کرده است
سیستمهای عامل بهصورت مستقل به اینترنت وصل شوند. ما باید منتظر حملات
هدفمند بیشتری باشیم. اپلیکیشنهای ساعت هوشمند بهگونهای طراحی شدهاند
که به هر اجازه دسترسی، پاسخ مثبت میدهند؛ بنابراین اگر بدافزاری بتواند
آپلود شود یا اینکه یک اپ مخرب روی ساعت نصب شود، قادر است به اطلاعات
زیادی دسترسی داشته باشد. (شکل 1) آیا تهدید بدافزار بیشتر از آنکه متوجه
ساعت باشد، به گوشی مربوط نمیشود؟ آیا مدرکی دال بر اینکه ساعتهای هوشمند
هدف حمله نویسندگان بدافزار قرار گرفتهاند، وجود دارد؟» جمالهریس؛ مشاور
امنیت اطلاعات MWR Labs میگوید: «در حال حاضر حملات زیادی روی ساعتهای
هوشمند صورت نمیگیرد؛ اما زمانیکه کاربران شروع به استفاده از سیستمهای
پرداخت موبایلی کنند، اینگونه حملات بیشتر میشود.»
شکل 1
هریس
اضافه میکند که هم گوگل و هم اپل تلاشهای زیادی برای مقابله با این
حملات انجام دادهاند تا از پخش بدافزار از ساعت به سمت گوشی جلوگیری کنند.
اما اپلیکیشنها میتوانند بهصورت مخفیانه روی برخی از ساعتهای هوشمند
نصب شوند و در برابر نرمافزارهایی که روی گوشی نصب و در حال اجرا است،
رفتار متفاوتی داشته باشند و در نتیجه چالش آنالیز آنها را برای کارشناسان
مسائل امنیتی افزایش میدهد.
اما تنها دلیلی که باعث شده این ساعتها
از گزند حملات در امان بمانند، این است که برخلاف پیشبینیها این گجتها
هنوز تبدیل به پدیده نشدهاند. از نظر نرمافزاز نیز هرچه سیستمعامل
کوچکتر باشد؛ هدف از جذابیت کمتری برخوردار است. اما در مقابل، گوشیهای
هوشمند در مقایسه با ساعتهای هوشمند عمومیت بیشتری دارند؛ اطلاعات حساسی
که روی آنها ذخیره میشود بیشتر است؛ قدرت پردازشی آنها برای شروع حمله
بهتر است و تماس مسقیم با شبکههای خارجی دارند.
کریس کامئو، مدیر NTT
Com Security میگوید: «چرا باید فرد خود را برای هک کردن ساعت هوشمند به
زحمت بیندازد؟ زیرا هم این کار نسبت به گوشی سختتر است و هم اطلاعاتی که
از آن بهدست میآید بسیار ناچیز و کماهمیت است. تنها چیزی که میتوانم به
آن فکر کنم آسیبپذیری ساعت هوشمند است که بهشدت ساده و آسان است؛ اما
چنین مشکلاتی میتوانند بهسرعت رفع شود.»
حریم خصوصی در معرض نمایش
اگر
بدافزار برای اطلاعات شما تهدید بهحساب نمیآید؛ پس برای خود شما تهدید
است. لحظهای به این مسئله فکر کنید که چه کسی جز شما از متنها و
ایمیلهایی که روی دستتان نمایش داده میشود باخبر است؟ کدهای احراز هویت،
دو عاملی که بهصورت اخطار روی صفحه ظاهر میشوند، چه نقشی میتوانند داشته
باشند؟ آیا به اشتراکگذاری غیرعمدی اطلاعات که به آن گشت وگذار شانهای
هم گفته میشود؛ میتواند تهدیدی جدی برای حریم خصوصی کاربر باشد؟
کریسکامئو معتقد است این مسئله که ساعت هوشمند همیشه روشن است،
بهخودیخود خطر بیشتری را در مقایسه با گوشی متوجه آن میکند. ساعت همیشه
روی مچ بسته شده است؛ اما گوشی میتواند در جیب یا کیف قرار داشته باشد.
بسیاری از این اطلاعات میتواند باعث شرمندگی و خجالتزدگی کاربر شود.
استفاده از کدهای دوعاملی بدون PIN، گذرواژه یا مجوز هیچ فایدهای ندارد.
اما
بارات میستری نظری خلاف کامئو دارد. او از زاویه حفظ حریم اطلاعات به این
مسئله نگاه میکند و هشدار میدهد که هنوز کنترل روی این دستگاهها بسیار
خام و ناپخته است؛ بنابراین خطر اشتراکگذاری اطلاعات بهصورت غیرعمد
بهشدت افزایش مییابد. اگر کاربری فراموش کند دستگاه خود را قفل کند؛ این
احتمال وجود دارد که دیگران بتوانند نوتیفیکیشنهای روی صفحه را ببینند.
در
واقع، زمانیکه بحث مراقبت و محافظت از حریم شخصی پیش میآید، قفل کردن
صفحه بهترین گزینه است. برای مثال، پوشیدنی اندروید با همان قفل صفحهای
عرضه میشود که در لالیپاپ گوشیهای هوشمند آن وجود دارد. جمالهریس در
اینباره میگوید: «قفلکردن گوشی میتواند مانع خواندن پیغامها توسط فرد
حمله کننده شود. با وجود این، اگر قفلی روی ساعت گذاشته نشود؛ حتی یک نظر
اجمالی میتواند اطلاعات بسیار حساسی را فاش کند.»
یکی
از وظایف مهم و خطیر سازندگان اینگونه ساعتها آن است که مطمئن شوند این
اپها تمیز هستند و از منابع شناخته شده و معتبر گرفته شدهاند
اما
حفاظت از اطلاعات چگونه میتواند آسیبپذیر باشد؟ سینککردن اطلاعات بین
بلوتوث و وایفای هم میتواند ریسک دیگری باشد. سیمئون کانی میگوید: «این
مسئله نیز میتواند روش دیگری برای حمله فراهم کند. اما بحث فاصله در این
مورد دخیل است، چون هر دو ویژگی برد محدودی دارند و نمیتوانند از یک حد
بیشتری کارایی داشته باشند.» حالا میرسیم به ایردراپ اپل. هماکنون مشخص
شده که این سرویس اپل برای ارسال محتوای ناخواسته به کاربران استفاده
میشود. اگر ایردراپ بتواند راه خود را به ساعت هوشمند باز کند، میتواند
با ارسال تقاضای بهظاهر واقعی برای پینکد؛ گذرواژه یا مجوزهای لازم
پیغامهای آلوده و مخرب خود را ارسال کند.»
شاید بزرگترین خطر حریم
شخصی، دزدی باشد. از آنجا که ساعت دور مچ بسته میشود احتمال گمکردن آن در
مقایسه با گوشی کمتر است. اما اگر بند آن پاره شود یا اینکه فراموش کنید
هنگام خارج شدن از مکانهای عمومی مانند هتل که احتمال باز کردن ساعت از
دست زیاد میشود، آن را بردارید خطر حتماً شما را تهدید میکند. اسکات
لستر، محقق ارشد در امنیت اطلاعات محتوا میگوید: «برای کاربران اپل گزینه
مرا پیدا کن وجود ندارد، اما یکی از ویژگیهایی که روی آن گذاشته شده این
است که اگر ۱۰ بار پشتسرهم تلاش ناموفق برای وارد شدن به گوشی رخ دهد،
اطلاعات آن بهطور خودکار پاک میشود. در مورد پوشیدنی اندرویدی؛ کاربران
میتوانند وسایلی را که مستقیماً به وایفای متصل میشوند از کار بیندازند؛
هرچند که راهی برای پاک کردن اطلاعات روی آن وجود ندارد.»
حمله اپی
و
سرانجام به اپها و گاردهای امنی میرسیم که در قالب طراحی اپ درست
شدهاند تا بتوانند جلوی حملات را بگیرند. مارک جیمز، متخصص امنیت در شرکت
ایست (East)، متقاعد شده است که بدون شک اپها، بزرگترین شکستیای هستند
که در این بازار دیده خواهند شد.
به گفته MWR Labs، توسعهدهندگان اغلب
درباره تغییراتی که در گوشیهای هوشمند داده شده تا بتوانند بهراحتی با
ساعتهای مربوطه در ارتباط باشند آگاهی ندارند. جمالهریس در توضیح این
مطلب میگوید: «در پوشیدنی اندرویدی، توسعهدهندگان ملزم به ساخت و تعبیه
سرویسی در اپ خود هستند تا بتواند بستر لازم را برای برقراری ارتباط و
تبادل اطلاعات بین اندروید و پوشیدنی اندروید فراهم کند. از نظر تئوری، این
سرویس فقط میتواند توسط پوشیدنی اندروید استفاده شود اما در تحقیقات ما
مشخص شد که امکان ارتباط این سرویس با پوشیدنی روتشده نیز وجود دارد.»
(شکل 2)
شکل 2
با
توجه به اینکه ضعف یکی، میتواند روی دیگری نیز تأثیرگذار باشد؛ نکته مهم
اینکه نیاز است چکهای امنیتی نظیر شناسایی روت روی اپهایی که برای
پوشیدنیها و سیستمعامل اندروید نوشته میشود،انجام گیرد. جمال اضافه
میکند: «در مورد ساعت اپل، MWR توسعهدهندگانی را دیده که از روی عمد،
موارد امنیتی را روی اپلیکیشنهای iOS ضعیف میکنند تا به این ترتیب
اطلاعات حساسوحیاتی به ساعت هوشمند منتقل شود. یکی از وظایف مهم و خطیر
سازندگان اینگونه ساعتها آن است که مطمئن شوند این اپها تمیز هستند و از
منابع شناخته شده و معتبر گرفته شدهاند.» در خاتمه مارک جیمز میگوید:
«تنها راه محافظت از کاربران اطمینان حاصل کردن از طراحی اپ و دقت در ارسال
و انتشار آنها است.»
اما کارشناسان به کدام ساعتها اعتماد دارند؟
آیا کارشناسان امنیتی یک پلتفرم ساعت هوشمند را به دیگری ترجیح میدهند؟ بهتر است با هم نظرات آنها را بخوانیم.
بارات میستری از ترندمایکرو از اپل پشتیبانی میکند
محافظت
فیزیکی از این دستگاه در بین تمام تولیدکنندگان آن ضعیف و کمتر از سطح
انتظار است. در تحقیقاتی که روی مدلهای مختلف داشتیم، هیچکدام از آنها
بهصورت پیشفرض از احراز هویت از طریق گذرواژه یا سایر روشها استفاده
نمیکنند. پس اگر این پوشیدنی دزدیده شد همه چیز در دسترس خواهد بود. تمام
ساعتها به جز ساعت اپل فاقد سیستم تایماوت بودند؛ یعنی گذرواژهها فقط از
طریق کلیک دستی روی دکمه فعال میشوند که موجب میشوند درصد آسیبپذیری
دستگاه بالا برود. همچنین در صورتیکه روی ساعت اپل چندین بار تلاش نافرجام
ورود داشته باشید، دستگاه بهطور خودکار پاک میشود.
پل لمسوریر از کرولأنترک به هیچکدام از این ساعتها اطمینان ندارد
بدون
درنظر گرفتن برند یا سیستمعامل، ساعتهای هوشمند ذاتاً با مشکلات امنیتی
عدیدهای همراه هستند. اینترفیس آنها ناامن است یا اینکه سیستم احرازهویت
مناسبی ندارند.
البته تنها نکته مثبت آن است که میتوان بهراحتی این
گجتها را هک کرد ولی اطلاعات زیادی نمیتوان از آنها بهدست آورد. فعلاً
کاربران باید نگران مکانهایی باشند که اطلاعاتشان ذخیره و بهاشتراک
گذاشته میشود. چون هدف نهایی هکرها سیستم ابری است که سازندگان استفاده
میکنند.
کریسکامئو از NTT Com Security از اپل پشتیبانی میکند
اگر
به گذشته نگاه کنیم، میبینیم که روش اپل برای مقابله با خطرات امنیتی در
گوشیهای آیفون با موفقیت بیشتری همراه بوده است. پلتفرم بسته، سیستم اپل
استور حفاظت شده، بستن سریع جیلبریک و سایر مشکلات امنیتی در کنار طراحی
کلی نرمافزار باعث شده تا آیفونها در برابر حملات و خطرات امنیتی مقاوم
باشند. درمقابل سیستم اندروید بسیار تکهتکه و از هم جداست و پیوسته کردن
مداوم آن کاری بس دشوار. در نتیجه بسیاری از بدافزارها روی اندروید اثر
میگذارند، اما نمیتوانند گزندی به iOS برسانند. دور از انتظار نیست که
همین رویه ادامه داشته باشد و شاهد ساعتهای اپل با امنیت بیشتر و پلتفرم
محدودتر باشیم؛ در حالیکه اندروید کاملاً باز است و خطرات بیشتری آن را
تهدید میکند