مطالب پربازدید

1403/08/29 - 07:56- هوش مصنوعي

هوش مصنوعی و دانش‌آموزان؛ تحولی که باید برای آن آماده شد

آموزش و پرورش، به خصوص مدارس به عنوان مهم‌ترین بستر تربیت نسل آینده، نقش کلیدی در آماده‌سازی دانش‌آموزان برای ورود به دنیای هوش مصنوعی دارد. اکنون هوش مصنوعی برای دانش‌آموزان یک انتخاب نیست، بلکه یک ضرورت است.

1403/09/24 - 08:40- آسیا

ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

کارشناسان ادعا کردند که بدافزار مرتبط با ایران زیرساخت‌های حیاتی ایالات متحده و رژیم صهیونیستی را هدف قرار داده است.

1403/09/28 - 07:37- آسیا

راه‌اندازی اولین کامپیوتر کوانتومی ساخت رژیم صهیونیستی

رژیم صهیونیستی از راه‌اندازی اولین کامپیوتر کوانتومی ساخت خود با استفاده از فناوری پیشرفته ابررسانا خبر داد.

انتشار شده در تاریخ 1395/02/16 - 23:35

خانه‌ هوشمند سامسونگ و آسیب‌پذیری SmartThings

به گزارش واحد امنیت سایبربان؛ آسیب‌پذیری‌هایی را کشف کرده‌اند که ممکن است توسط مهاجمان به کار گرفته شود.

SmartThings می‌گوید که باید برای رفع این آسیب‌پذیری‌ها مراحلی را طی کند اما این خطر را کم‌اهمیت دانسته است.

در مقاله‌ای که این محققان در اواخر این ماه در سمپوزیوم IEEE در مورد حریم خصوصی و امنیت منتشر کردند، گزارش‌شده که تلاش‌های خود را بر روی SmartThings سامسونگ متمرکز کرده‌اند، چراکه بیش‌ترین تعداد نرم‌افزارها را در اختیار دارد که بانام SmartApps معروف هستند و از طیف گسترده‌ای از دستگاه‌ها نیز پشتیبانی می‌کند که شامل قفل‌های در هشدارهای آتش‌سوزی و حسگرهای حرکتی می‌باشند.

به گفته این محققان مشکل اینجاست که بسیاری از این ۵۲۱ نرم‌افزار موجود دارای دسترسی زیادی هستند که به آن‌ها اجازه کامل دسترسی به دستگاهی که قرار است روی آن نصب شوند، داده می‌شود، درحالی‌که آن‌ها درخواست دسترسی محدود دارند و یا اینکه آن‌ها واقعاً از این دسترسی که دریافت می‌کنند، استفاده نمی‌کنند.

مشکل دیگری که وجود دارد به رویدادهای سامانه‌های زیرین SmartThings برمی‌گردد. این رویدادها به‌وسیله دستگاهی استفاده می‌شوند که با SmartApp‌ در ارتباط است و امنیت مناسبی ندارد و ممکن است که اطلاعات حساس را نظیر کدهای قفل در اختیار افراد غیرمجاز قرار دهد.

دریکی از آزمایش‌هایی که به‌وسیله محققان انجام‌شده است، آن‌ها موفق شدند از یک نرم‌افزار SmartApp موجود استفاده کنند و کد موردنظر خود را به یک قفل هوشمند اضافه کنند. این حمله شامل سرقت توکن OAuth و وادار کردن قربانی به کلیک بر روی یک پیوند می‌شد. بعدازاینکه کارشناسان به شرکت SmartThings اطلاع دادند، این شرکت برخی تغییرات را برای این آسیب‌پذیری‌ها منتشر کرد تا از حملات احتمالی جلوگیری کند.

در یک آزمایش جداگانه، محققان یک نرم‌افزار ایجاد کردند که به آن‌ها اجازه می‌داد تا رویدادها را شنود کنند و به سرقت اطلاعات حساس بپردازند. نرم‌افزار آزمایشی ظاهراً برای این طراحی‌شده بود تا تنها به نظارت سطح باتری دستگاه متصل بپردازد؛ اما درواقع، این نرم‌افزار می‌توانست، کد قفل در را که توسط کاربر برنامه‌ریزی‌شده بود، شنود کند و آن را از طریق پیامک به مهاجم ارسال کند.

این نرم‌افزار بر این اساس کار می‌کرد که نرم‌افزارهایی که دارای اجازه در مقوله مشخصی نبودند، می‌توانستند همه رویدادها را با استفاده شناسه دستگاهی که لو رفته بود، شنود کنند.

همچنین رویدادها نیز می‌توانستند جعلی باشند، کارشناسان با استفاده از یک نرم‌افزار SmartApp که در بازار آن موجود بود توانستند «حالت تعطیلات» خانه را غیرفعال کنند، قابلیتی که موجب می‌شد تا چراغ‌های خانه روشن و خاموش شوند تا تصور شود که کسی در خانه است، درحالی‌که درواقع کسی در خانه وجود ندارد.
جعل رویداد نیز توسط کارشناسان استفاده شد تا یک داستان حمله را شبیه‌سازی کنند و در آن‌یک نرم‌افزار ظاهراً بدون مشکل برای تعامل با پنل نرم‌افزار هشدار استفاده می‌شود که به هشدارها، حسگر مونوکسید کربن و حسگرهای آب و حرکتی دسترسی پیدا کند. این نرم‌افزار که توسط کارشناسان برای انجام حمله ایجادشده است، می‌تواند یک رویداد جعلی را برای نشانگر مونوکسید کربن و دستگاه هشدار ایجاد کند.
یک بررسی که بر روی تقریباً ۲۰ نفر از مشتریان SmartThings صورت گرفته است، نشان می‌دهد که درحالی‌که بیشتر آن‌ها به نرم‌افزاری که به بررسی سطح باتری آن‌ها بپردازد علاقه نشان می‌دهند، تنها ۱۴ درصد از این افراد متوجه شدند که این نرم‌افزار می‌تواند کدهای قفل در آن‌ها را سرقت کند که نشان می‌دهد داستان حمله شرح داده‌شده توسط محققان غیرواقعی نیست.

واکنش‌های SmartThings

SmartThings در مورد آسیب‌پذیری امنیتی محصولاتش در میانه دسامبر ۲۰۱۵ مطلع شده و این شرکت گام‌هایی را برای رفع این مشکلات برداشته است، اما این شرکت به مشتریان اطمینان داده است که آن‌ها تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

SmartThings این اظهاریه را منتشر کرده است: «حفاظت از حریم خصوصی مشتریان و امنیت داده‌ها برای ما از همه‌چیز مهم‌تر است. ما به‌صورت مرتب آزمایش‌های نفوذ به سامانه را انجام می‌دهیم و با شرکت‌های ثالث حرفه‌ای در ارتباط هستیم و به استقبال محققان آن‌ها می‌رویم تا بتوانیم هر نوع آسیب‌پذیری ممکن را کشف کنیم و هنگامی‌که به مقوله امنیت سامانه خود می‌رسیم در زمره پیشگامان باشیم.

ما کاملاً از تحقیقات دانشگاه میشیگان و مایکروسافت در این زمینه آگاه هستیم و با نویسندگان این گزارش در چند هفته گذشته کارکرده‌ایم تا بتوانیم راهی را که برای امن‌تر کردن خانه‌ها شروع کرده‌ایم ادامه دهیم. آسیب‌پذیری‌های بالقوه که در گزارش ذکرشده‌اند در اصل به نوع سناریوی پیش‌آمده بستگی دارند: نصب یک SmartApp آلوده یا ناکامی یک توسعه‌دهنده ثالث برای امنیت بخشیدن به کدهای نرم‌افزار خود.
با توجه به SmartApps آلوده شرح داده‌شده، این موضوع هرگز بر مشتریان ما به خاطر روال بررسی گواهینامه‌ها و کدهای نرم‌افزارهای تأثیر نخواهد گذاشت، چراکه ما بررسی می‌کنیم که نرم‌افزارهای آلوده برای انتشار تأیید نشوند. برای بهبود بیشتر روال‌های تأیید نرم‌افزارها را ارتقاء می‌دهیم تا مطمئن شویم که آسیب‌پذیری‌های بالقوه که شرح داده‌شده‌اند بر مشتریان ما تأثیری نداشته‌اند، ما نیاز به بررسی‌های امنیت بیشتری را برای انتشار هر نوع نرم‌افزاری اضافه کردیم.

به‌عنوان یک بستر باز با جامعه در حال رشد و فعال، SmartThings یک دستورالعمل دقیق را ارائه می‌کند که چگونه می‌تواند همه کدهای را امن نگه دارد و مشخص کند که منابع مطمئن کجا هستند. اگر کدی از منبع نامطمئنی بارگیری شود، می‌تواند نشانگر یک خطر بالقوه باشد، درست شبیه به اینکه یک کاربر رایانه نرم‌افزاری را از یک وب‌گاه ثالث و نامشخص نصب می‌کند، همواره این خطر وجود دارد که این نرم‌افزار حاوی یک کد آلوده باشد. به دنبال این گزارش، ما مستندات خود را به‌روزرسانی کرده‌ایم تا دستورالعمل‌های امنیتی بهتری را برای توسعه‌دهندگان ارائه کنیم».

تازه ترین ها