נחשפו 33 חולשות אבטחה בהתקני מחשוב לביש ורובן נותרו פרוצות ולא תוקנו ע"י היצרנים
מאת:
מערכת Telecom News, 2.2.22, 22:00
מודדים את קצב הלב... וגם יודעים איפה אתם נמצאים. 19 מהחולשות התגלו בשנה החולפת בפרוטוקול התקשורת הפופולרי MQTT וחלקן מוגדרות "קריטיות". הן מאפשרות לתוקפים לשאוב את המידע, שעובר בין התקני המחשוב הלביש לשרת, לרבות פרטים אישיים, נתוני מיקום ותנועה.
מגפת הקורונה הובילה מהלך של דיגיטציה מהירה בקרב ארגוני בריאות, וחלק לא מבוטל של ניטור מדדי הבריאות של מטופלים מבוצע מרחוק באמצעות התקני מחשוב לביש כמו שעונים חכמים. אך המעבר לשימוש במחשוב לביש וניטור מדדים מרחוק גם פותח פתח לסיכוני סייבר.
חוקרי חברת הסייבר הבינלאומית קספרסקי חשפו 33 חולשות מובנות בפרוטוקולים הפופולריים ביותר להעברת מידע מהתקנים לבישים - 19 מתוכן רק בשנה החולפת (לעומת 9 בלבד ב-2020). רוב החולשות נותרו פרוצות וטרם תוקנו ע"י היצרנים מה שמשאיר את המשתמשים חשופים ומאפשר לתוקפים לאסוף דאטה מההתקנים ולפרוע בפרטיות.
החוקרים מציינים, שמלבד דופק ומדדים בריאותיים, רוב התקני הבריאות החכמים מנטרים גם מיקום ותנועות של הלובש, ופרטים אישיים. כך, שנפתחת אפשרות לא רק לגניבת נתונים אלא גם למעקב.
כך, למשל, פרוטוקול תקשורת הרשת
,MQTT הפרוטוקול הנפוץ ביותר להעברת נתונים מהתקני מחשוב לביש, שפופולרי מאוד גם בהתקני
IoT וגאדג'טים נוספים. בעת הפעלת הפרוטוקול, פונקציית האימות היא אופציונלית בלבד ורק לעתים נדירות כוללת הצפנה.
המשמעות היא, שההתקנים הללו רגישים מאוד להתקפות "האדם שבתווך" (
“man in the middle”) - כאשר תוקף מציב עצמו בין "שני צדדים" המתקשרים ביניהם וכל הנתונים, שעובדים, יכולים להיגנב. כשמדובר בהתקנים לבישים, מידע זה יכול לכלול מדדים רפואיים רגישים אבל גם מידע אישי המאפשר זיהוי (
PII), אפילו את מיקום המשתמש (
GPS).
לפי מומחי החברה, מאז 2014 התגלו 90 חולשות בפרוטוקול
MQTT, כולל כמה קריטיות, שרבות מהן נותרו ללא תיקון עד היום. כל החולשות מציבות את נתוני המטופלים בסיכון גבוה לגניבה.
טבלה: מספר החולשות שנמצאו בפרוטוקול
MQTT בין השנים
2014-2021
החוקרים מצאו חולשות גם באחת הפלטפורמות הפופולריות ביותר עבור מחשוב לביש -
Qualcomm SnapDragon . מאז הושקה התגלו בפלטפורמה הזו יותר מ-400 חולשות, כולל כמה שנוספו ב-2020
.
מריה נמסטניקובה (Maria Namestnikova), ראש צוות מחקר וניתוח גלובלי ב
קספרסקי: "המגיפה הובילה לצמיחה חדה בשוק הרפואה מרחוק, שבאה לידי ביטוי גם בהתייעצות וידאו עם הרופאים וגם במגוון שלם של טכנולוגיות ומוצרים ניטור רפואי, התקנים חכמים ומסדי נתונים מבוססי ענן המתפתחים במהירות. זאת הסיבה, שלפני שמתחילים להשתמש בהתקנים כאלה רצוי ללמוד כמה שניתן לגבי רמת האבטחה שלהם, כדי לשמור על הנתונים של החברה והמטופלים בטוחים".