חוקרים מאוניברסיטת בן-גוריון: מכשירי-מדף חכמים קלים לפריצה. טיפים לאבטחה
מאת:
מערכת Telecom News, 21.3.18, 16:00
החוקרים פירקו והנדסו מחדש מגוון מכשירים נפוצים וחשפו בעיות אבטחה חמורות. הם מציעים 7 טיפים לאבטחת מערכות אבטחה ביתיות, מוניטור לתינוקות, מצלמות רשת, מערכות פעמון ומכשירים חכמים נוספים. מטרת המחקר הייתה לאתר חולשות במכשירים לבית החכם וברשתות IoT.
מכשירי מדף חכמים, שכוללים מוניטור לתינוקות, מערכות אבטחה ביתיות, מצלמות רשת, מערכות פעמון ותרמוסטט נפרצו בקלות ע"י חוקרי סייבר באוניברסיטת בן-גוריון בנגב. כחלק ממחקרם הנוכחי, שמטרתו לאתר חולשות במכשירים וברשתות המתרחבות בבית החכם ובמרשתת הדברים
IoT (רשת חפצים אלקטרוניים פיזיים בעלי תוכנה וחיישנים), החוקרים פירקו והנדסו מחדש מגוון רחב של מכשירים נפוצים, בהם חשפו במהרה בעיות אבטחה חמורות.
ד"ר
יוסי אורן, מרצה בכיר במחלקה להנדסת מערכות תוכנה ומידע וראש המעבדה לאבטחת מימושים והתקפות ערוצי-צד ב-
Cyber@BGU: "זה באמת מפחיד באיזו קלות פושע, מציצן או פדופיל יכול להשתלט על מכשירים אלה. באמצעות שימוש במכשירים אלה במעבדה, הצלחנו לנגן מוזיקה רועשת דרך מוניטור לתינוק, לכבות תרמוסטט ולהפעיל מצלמה מרחוק, מה שהסב דאגה רבה לחוקרים, שעצמם משתמשים במכשירים אלה. נראה, שלהשיק מכשירים לשוק במחיר אטרקטיבי לעתים חשוב יותר מאשר לאבטח אותם כראוי".
עומר שוורץ, דוקטורנט במחלקה וחבר במעבדתו של ד"ר אורן: "לקח לנו עד 30 דקות למצוא סיסמאות עבור רוב המכשירים וחלקן נמצאות באמצעות חיפוש פשוט של המותג ב-
Google. ברגע שפורצים יכולים לגשת למכשיר מסוים, כמו מצלמה, הם מסוגלים ליצור רשת שלמה של דגמי המצלמה הזו הנשלטת מרחוק".
החוקרים גילו מספר דרכים בהן פורצים יכולים לנצל ממכשירים, שאבטחתם דלה. הם חשפו, שמכשירים דומים של מותגים שונים חולקים סיסמת ברירת-מחדל זהה ונפוצה. צרכנים ועסקים ממעיטים להחליף למכשירים אלה את הסיסמה לאחר הרכישה ולפיכך, ניתן בקלות יתרה להטמיע קוד זדוני במכשירים, שיפעל עליהם במשך שנות שימוש רבות.
בנוסף, החוקרים הצליחו להתחבר לרשתות
WiFi פשוט ע"י אחזור הסיסמה המאוחסנת במכשיר כדי לקבל גישה לרשת.
ד"ר
אורן קורא ליצרנים להפסיק להשתמש בסיסמאות פשוטות ומקודדות, כדי להשבית את יכולת הגישה מרחוק ולהקשות על קבלת מידע מיציאות משותפות כמו שקע אודיו, שהוכח כפגיע במחקרים אחרים של חוקרי
Cyber@BGU.
טיפים לאבטחת מכשירים חכמים
כדי להפוך את הצרכנים לחכמים יותר בנוגע לאבטחת מכשיריהם החכמים, החוקרים מציעים מספר טיפים לשמירה על המכשירים, המשפחות והעסקים:
- רכוש מכשירים חכמים רק מיצרנים וספקים בעלי מוניטין.
- הימנע משימוש במכשירים חכמים יד-שנייה. יכול להיות שכבר הותקנה עליהם תוכנה זדונית.
- בדוק באינטרנט האם למכשיר יש סיסמה ברירת-מחדל ואם כן - שנה אותה לפני ההתקנה.
- השתמש בסיסמה חזקה הכוללת מינימום 16 אותיות. היא קשה לפריצה.
- לא מומלץ, שמכשירים רבים יחלקו את אותה הסיסמה.
- עדכן את התוכנה באופן תדיר, רק מיצרנים בעלי מוניטין.
- שקול בכובד ראש את היתרונות ואת הסיכונים בחיבור המכשיר לאינטרנט.
יעל מה-טוב, סטודנטית לתואר שני, שלקחה חלק במחקר: "הצמיחה בפופולריות הטכנולוגית של המכשירים החכמים מכילה יתרונות רבים, אך עלייה פתאומית זו של מכשירים חדשים, חדשניים וזולים חושפת אתגרים מורכבים בתחום האבטחה והפרטיות. אנו מקווים, שהממצאים יגרמו ליצרנים לגלות יותר אחריות ויסייעו לעורר את היצרנים ואת הצרכנים לסכנות הטמונות בשימוש נרחב במכשירים חכמים לא מאובטחים".
המאמר על המחקר המלא - כאן.
שיתוף-הפעולה המחקרי כלל גם את
מיכאל בוהדנה, חוקר במעבדות החדשנות של דויטשה טלקום ופרופ'
יובל אלוביץ', מנהל
Cyber@BGU, מעבדות החדשנות של דויטשה טלקום וחבר במחלקה להנדסת מערכות תוכנה ומידע באוניברסיטת בן-גוריון בנגב.