נמצאו חולשות אבטחה בטמי, הרובוט האישי הישראלי
חוקרי מק'אפי גילו שטמי לא טוב בשמירת סודות, כולל "פגמי אישיות" וכל מה שצריך כדי לפרוץ אליו הוא את מספר הטלפון של הבעלים החוקי של הרובוט ● טמי נמצא בשימוש בבתי חולים בישראל
פרצות כחול לבן: חולשות אבטחה נמצאו ברובוט האישי הישראלי טמי (Temi) – כך פרסם היום (ה') McAfee ATR, צוות מחקרי האיומים המתקדמים של מק'אפי. ההמצאים מתבססים על בחינה של המוצר שהצוות ערך בחודשים האחרונים, שבסופה הוא גילה שהרובוט עלול להיפרץ.
דאגלס מק'י, חוקר אבטחה בכיר במק'אפי, פירט אודות הפרצות שנתגלו והתהליך שהביא לגילויין: "במפגש עם מוצרים כמו הרובוט טמי, אנחנו בוחנים טכנולוגיות ואת עושר המידע שהן מספקות מנקודת המבט של גורם עוין, במטרה לשפר את רמת האבטחה שלהן. נדהמנו לגלות עד כמה הרובוט הזה מדליק ושימושי. ניטרנו את כל התנועה ברשתות בזמן שטמי הפגין את יכולותיו והורדנו עדכון חומרה. בדקנו לאילו פורטים (מבואות) של רשתות פתוחות טמי נחשף, ביצענו הנדסה לאחור של אפליקציית האנדרואיד, הפעלנו מנפה באגים (דיבאגר) וגם התקנו שרת SSH, ליתר ביטחון. ביצענו בדיקת רקע מחמירה – מהסוג שהורים עושים לבן.בת הזוג הראשון של הבת.בן שלהם – כדי להיות רגועים לפני שאפשרנו לרובוט שלנו 'לצאת לדייט'. השתמשנו בכל טכניקות ההפחדה".
"בחודשים שלאחר מכן חפרנו לעומק וגילינו שטמי לא טוב במיוחד בשמירת סודות", ציין מק'י. "יש לו 'פגמי אישיות' שעלולים להיות מנוצלים על ידי האקרים. בעזרת כמה מודיפיקציות באפליקציית האנדרואיד המקורית של טמי היה באפשרותנו ליירט שיחות טלפון שנועדו למשתמש אחר. לאחר כמה מודיפיקציות נוספות, טמי אפשר לנו לנווט אותו ולהפעיל את המצלמה והמיקרופון שלו מרחוק. פרט המידע היחידי שהיה נחוץ לנו לשם כך היה מספר הטלפון של הקורבן, כלומר – הבעלים החוקי של הטמי. כן, מספר טלפון הוא המידע היחיד שהאקר זדוני זקוק לו כדי לקבל גישה מלאה מרחוק לטמי – בלי ידיעת או הסכמת הבעלים".
רובוט שנבחר לשימוש בבתי חולים בישראל
הממצאים מטרידים בין היתר לנוכח העובדה שבאחרונה, על רקע נגיף הקורונה, טמי נבחר על ידי משרד הביטחון כפלטפורמה הרובוטית המובילה לביקורים וירטואליים בבתי חולים. החוקר ציין כי "כשבית חולים מפעיל תוכנית אבטחה הדוקה ויעילה כמעט בלתי אפשרי לפרוץ או לגנוב ממנו מידע מבחוץ. אבל חולשות האבטחה שהתגלו בטמי היו עלולות לספק להאקרים דרך קלה לאסוף מודיעין על הפעילות הפנימית בבית החולים, בלי הצורך לפרוץ את הרשת או את המתחם הפיזי שלו. בעזרת מספר הטלפון של כל אדם שהתקשר לטמי באחרונה, כל האקר היה עלול לגלות את מספר החדר ואת מצבו הרפואי של פוליטיקאי בכיר במחלקה שבה הוא מאושפז, לדוגמה".
לדבריו, "בעזרת המצלמה המותקנת בחזית הרובוט אפשר להבחין בצילומי הכלב האהוב שמונחים על שולחנה של אחות או שולחנו של רופא, כולל השם החמוד ותאריך הלידה של הכלב, שממש במקרה משמשים גם כסיסמת הגישה שלו.ה למערכת המידע של בית החולים. מידע כזה עלול להיות יקר מפז עבור פורצים, שבשמחה ישלמו תמורתו".
חוקרי האבטחה פנו לאנשי טמי גלובל, החברה שמייצרת את הרובוט, עדכנו אותם ויחד הם עבדו על פיתוח פתרון יציב ומאובטח יותר לרובוט.
תגובות
(0)