בסייבר, כל אחד יכול להתחזות לרופא
צ'ק פוינט וקלארוטי גילו חולשות אבטחה בפלטפורמה לאפליקציות רפואה מרחוק ● החולשות העמידו בסיכון נתונים רגישים של מיליונים
נתגלו חולשות אבטחה משמעותיות בפלטפורמת QuickBlox הפופולרית, המשמשת לאפליקציות טלה-רפואה למתן שירותים רפואיים מרחוק, פיננסים ומכשירי IoT חכמים. את החולשות חשפו חוקרי צ'ק פוינט (CPR) וצוות המחקר של קלארוטי, Team82. החברות פרסמו את הממצאים שלהן היום (ה').
לו נוצלו, חולשות האבטחה היו עלולות לאפשר לתוקפים לגשת לבסיסי נתונים של משתמשים באפליקציות שונות ולחשוף נתונים רגישים של מיליונים.
החולשות התגלו במסגרת מחקר משותף שבחן את האבטחה של QuickBlox SDK. יש לציין ש-QuickBlox הינה פלטפורמת צ'ט ושיחות וידיאו שמשתמשים בה לפיתוח אפליקציות iOS, אנדרואיד ואינטרנט. הפלטפורמה מותקנת בבסיסם של שירותי צ'ט ו-וידיאו בזמן אמת, שזמינים באפליקציות טלה-רפואה, במכשירי אינטרקום, באפליקציות בתחום הפיננסים וביישומי IoT חכמים רבים, שמשמשים מיליוני אנשים. היא מספקת API לאימות, ניהול משתמשים, צ'ט והודעות, ניהול קבצים ועוד, וכן SDK פשוט לשימוש, המאפשר יכולות קול ו-וידיאו.
צוותי המחקר גילו את החולשות תוך כדי מחקר שביצעו על אפליקציית אינטרקום. על ידי חיבור שרשרת החולשות עם פגמים אחרים באפליקציות שונות שנבדקו, החוקרים מצאו דרכים ייחודיות לגלות מתקפות שתוקפים היו עלולים לממש כדי להשיג גישה מרחוק למידע – באמצעות יישומי אינטרקום, וכן להדליף מידע רגיש של חולים מפלטפורמת רפואה שהוגדרה משמעותית.
החוקרים גילו כמה חולשות אבטחה בארכיטקטורה של האינטרקום החכם של היצרנית הישראלית רוזקום (Rozcom). מערך הסייבר הלאומי פרסם חלק ניכר מהפגיעויות (CVE) בפלטפורמת רוזקום.
"חולשות אבטחה בעלות פוטנציאל נזק רחב היקף"
לפי החוקרים, "פלטפורמות טלה-רפואה מאפשרות תקשורת וידיאו וצ'טים בין חולים ורופאים מרחוק, טיפול, ייעוץ, תזכורות, חינוך, התערבות, ניטור ואשפוז מרחוק. שילוב החולשות של QuickBlox עם חולשות ספציפיות של אפליקציות אלה אפשר לנו להדליף את כל בסיס הנתונים של המשתמשים, יחד עם הרשומות הרפואיות וההיסטוריה שלהם".
לדברי אמיר פרמינגר, סגן נשיא למחקר בקלארוטי, "המחקר מצביע על חולשות אבטחה בעלות פוטנציאל נזק רחב היקף. הפלטפורמה מותקנת במספר רב של מכשירי אינטרקום ואפליקציות בתחום הרפואה, והתוקפים היו עלולים להגיע למידע של משתמשים רבים ולהשתלט על חשבונות, תוך קבלת גישה למצלמות ומיקרופונים של מכשירים. בתחום הרפואי, התרחיש מפחיד במיוחד – כי החולשות היו יכולות לאפשר התחזות לרופא, שינוי מידע רפואי רגיש ותקשורת עם מטופלים אמיתיים".
לאחר שהועברו אליה ממצאי המחקר, QuickBlox התחייבה ליישם תיקונים על ידי תכנון ארכיטקטורה וממשק API חדשים ומאובטחים, ופנתה ללקוחותיה בבקשה לעבור לגרסה העדכנית ביותר.
תגובות
(0)