צ'קמרקס חשפה פרצת אבטחה חמורה בשואב הרובוטי החכם של טריפו
סיכוני האבטחה התגלו במסגרת בדיקה שביצע צוות המחקר של החברה במספר מכשירי IoT, שכמותם ניתן למצוא כיום בבתים ובמקומות עבודה רבים
חברת צ'קמרקס חשפה היום (ד') חולשות אבטחה בשואב אבק רובוטי חכם. זאת, במסגרת בדיקה שביצע צוות המחקר של החברה במספר מכשירי IoT, שניתן למצוא כיום בבתים ובמקומות עבודה.
לדברי החברה, המקרה שבו נחשפה הפרצה, של שואב רובוטי מתוצרת טריפו, ממחיש את הסיכון שבהכנסת מכשיר חכם המחובר ל-Wi-Fi, למשרד או לבית, ובפרט מכשיר המצויד במצלמת וידיאו.
צוות החוקרים בחן את רמת האבטחה של השואב וגילה מספר חולשות אבטחה בדרגה חמורה ובינונית, כאשר דרכן תוקף יכול להשיג בקלות צילומי וידיאו מכל שואב רובוטי של היצרן, המחובר לאינטרנט. בדרך זו, הוא יכול "לרגל", תוך שהוא עוקף את הרשאות הפרטיות. הרובוט, שמחובר ל-Wi-Fi, מסייר בבית ומצלם את החדרים השונים מגובה כחצי מטר ומעלה, וכך ניתן לקבל תמונה מלאה כמעט של הסביבה.
בנוסף, האקרים יכולים לזהות את מיקום הבית ולמפות אותו – על-ידי זיהוי הרשת, צילום תמונה ממצלמת הרובוט והשגת נתוני מיפוי הבית שהרובוט ביצע. במשרד אפשר לנצל את השואב כדי להשיג צילומים, מיקום ומפה של החדר.
צ'קמרקס דיווחה ליצרן מספר פעמים על הפרצה, ואף חשפה בפניו את הדו"ח המלא – אך לא התקבלה אף תגובה, והפרצה טרם תוקנה. ההמלצה היא להפסיק את השימוש במוצר, או לפחות לכסות את מצלמת המכשיר.
לדברי ארז ילון, ראש צוות המחקר בצ'קמרקס, "בכל פעם שאנחנו כצרכנים ניגשים למכשיר כזה מרחוק, דרך הטלפון הנייד, אנחנו למעשה פותחים סיכון חדש, סוג של דלת אחורית לרשת הביתית ולכל שאר המכשירים המחוברים בבית, לרבות המחשב. במכשירים עם מצלמה הפלישה לפרטיות רק מחמירה את הסיכון".
לדבריו, המחקר הזה הוא חלק מהמאמצים המתמשכים של צ'קמרקס, המתמחה באבטחת אפליקציות, להניע את השינויים הנדרשים בשיטות אבטחת התוכנה בקרב יצרני מכשירי IoT. זאת, תוך הגברת המודעות לאבטחה בקרב הצרכנים שרוכשים אותם ומשתמשים בהם.
"בעולם שהופך למחובר יותר ויותר, שמירה על פרטיותם של צרכנים וארגונים חייבת לעמוד בראש סדר העדיפויות", אמר ילון.
תגובות
(0)