رفع آسیب پذیری های ابزارهای هوشمند آمازون

به گزارش کارگروه امنیت سایبربان، به نقل از «latesthackingnews»؛ اخیرا وصله ی آسیب پذیری های متعدد اینترنت اشیا ی آمازون،  برای سیستم عامل دستگاه های هوشمندش منتشر شدند. این آسیب پذیری ها می توانند هکرها را قادر به کنترل کامل دستگاه و اجرای دستورهای از راه دور کنند.

این معایب امنیتی، روی محصولات متعدد خانگی هوشمند آمازون و همچنین بر ماژول های خدمات وب آمازون (AWS modules) تاثیر گذاشته اند.

کشف نقص های امنیت بحرانی در «AWS FreeRTOS»  

طبق گزارش، محققان یک شرکت امنیتی تلفن همراه، به نام « Zimperium»، چندین نقص امنیتی را در سیستم عامل اینترنت اشیای آمازون کشف کردند. محققان ادعا می کنند در حالی که روی بستر های اینترنت اشیا کار می کردند، «FreeRTOS » را مورد ارزیابی قرار دادند. در نتیجه، آمازون آسیب پذیری های متعدد اینترنت اشیا را که توسط «Zimperium» مورد تأکید قرار گرفته بود، اصلاح کرد.

شرکت «Zimperium» در وبلاگ خود گفت:

ما در طول تحقیقات، چند آسیب پذیری را در پشته ی «TCP / IP» سیستم عامل یاد شده و در ماژول های اتصال امنیتی خدمات وب آمازون کشف کردیم. آسیب پذیری های مشابهی در «WHIS Connect TCP/IP» که شاخه ای از «OpenRTOS\SafeRTOS» است نیز وجود دارند.

محققان 13 نوع از آسیب پذیری های مختلف را پیدا کرده اند که تأثیرات متفاوتی دارند؛ از جمله اجرای کد از راه دور و نشت اطلاعات.

شرکت نام برده ادامه داد:

این آسیب پذیری ها به مهاجمان اجازه می دهند تا دستگاه را از کار بیندازند، اطلاعات را از حافظه ی سیستم استخراج کنند و از راه دور کدهایی را روی آن به اجرا دربیاورند؛ بنابراین، به طور کامل دستگاه را به خطر می اندازند.

متخصصان در توضیحات بیشتر ذکر کردند که 4 مورد از 13 آسیب پذیری، نقص اجرای کد از راه دور (RCE) بوده اند. 7 آسیب پذیری نیز ممکن است باعث افشای اطلاعات شوند. درحالیکه یک باگ می تواند منجر به عدم پذیرش سرویس شود. محققان تاثیر تنها باگ باقی مانده را به طور مشخص بیان نکرده اند.

اصلاح آسیب پذیری ها توسط آمازون

محققان پس از کشف نقص ها، آمازون را در جریان مشکلات امنیتی گذاشتند. علاوه بر این، آن ها به همکاری با آمازون برای تولید وصله برای معایب ، ادامه دادند. در حال حاضر، آن ها جزئیات فنی مربوط به نقص ها را منتشر نکردند. این کار به منظور فرصت دادن به دیگر فروشندگان برای ساخت پچ ها است.

در این باره گفته شده :

از آنجایی که این یک پروژه ی متن باز است، ما 30 روز صبر کرده و سپس جزئیات فنی درباره ی یافته هایمان را منتشر می کنیم. این فرصتی است برای فروشندگان کوچکتر تا اصلاحاتی را برای آسیب پذیری ها ارائه دهند.

با وجود این، تایید شده که آمازون پچ های وصله هایی را برای نسخه ی  1.3.2 «FreeRTOS» و نسخه های بعد از آن ، گسترش داد. همچنین معلوم شده است که اصلاحاتی برای مشکلات ذکرشده «RTOS WHIS» نیز در نظر گرفته شده است.

اینترنت اشیا و دستگاه های هوشمند، همیشه در مقابل حملات سایبری، آسیب پذیر هستند. فناوری، با وجود مفید بودنش، با اشکالات و خطاهایی که می توانند هکرها را در فعالیت های مخربشان کمک کنند، باقی می ماند. بنابراین تنها راه جلوگیری از هرگونه خسارت، داشتن یک رویکرد پیشگیرانه برای رفع معایب است.

به تازگی سونی نیز اصلاحاتی را برای آسیب پذیری های امنیتی بحرانی در تلویزیون هوشمند خود، براویا (Bravia) اعمال کرد.