سخت‌افزار

فناوری اطلاعات

July 18, 2020
16:13 شنبه، 28ام تیرماه 1399
کد خبر: 114187

مسیریاب های خانگی تحت تاثیر صدها آسیب پذیری قرار گرفتند

 
 
 
مطالعه‌ یک موسسه تحقیقاتی بین المللی در خصوص وضعیت به‌روزرسانی‌های امنیتی مسیریاب‌های خانگی نشان می دهد که بسیاری از مسیریاب ها تحت تأثیر صدها آسیب‌پذیری شناخته شده قرار گرفتند.
 
به نقل از مرکز افتای ریاست جمهوری، موسسه ارتباطات Fraunhofer آلمان (FKIE) برای بررسی آسیب‌پذیری‌های امنیتی شناخته شده در جدیدترین firmware ها مطالعه‌ای را روی ۱۲۷ مسیریاب خانگی از ۷ برند مختلف انجام داده است.
 
سفت افزار (Firmware) ، یک نوع برنامه کامپیوتری در سیستم های الکترونیکی و محاسباتی است که کنترل سطح پایین را برای سخت افزار یک دستگاه خاص فراهم می کند.
 
سفت افزار می تواند یک محیط عملیاتی استاندارد برای نرم افزار دستگاه های با پیچیدگی بالا باشد (با ایجاد وابستگی کمتر به سخت افزار) یا می تواند برای دستگاه هایی که پیچیدگی کمتری دارند به عنوان سیستم عامل کل دستگاه، کنترل کامل، نظارت و پردازش داده ها را انجام دهد. نمونه های متداول از دستگاه های دارای سفت افزار شامل سیستم های داخلی کامپیوتری، لوازم خانگی، کامپیوترها، لوازم جانبی کامپیوتر و غیره هستند.
 
بر اساس این مطالعه، ۴۶ نوع مسیریاب در یک سال گذشته حتی یک بار هم به روزرسانی امنیتی نشده‌اند و بسیاری از آنها تحت تأثیر صدها آسیب‌پذیری شناخته شده قرار گرفتند. همچنین فروشندگان بدون رفع این آسیب‌پذیری‌ها بروزرسانی firmware  را انجام می‌دهند، به این معنی که حتی اگر کاربر جدیدترین firmware را نیز نصب کند، مسیریاب آن همچنان آسیب‌پذیر است.
 
در این تحقیق همچنین بررسی شده است که ASUS و Netgear در برخی از جنبه‌های امنیت مسیریاب‌ها نسبت به D-Link ، Linksys ، TP-Link و Zyxel عملکرد بهتری دارند. پژوهشگران اما معتقدند که این صنعت برای تأمین امنیت مسیریاب‌های خانگی باید عملکرد بهتری نشان دهد.
 
به علاوه AVM، یک تولید کننده مسیریاب آلمانی، تنها فروشنده‌ای است که کلیدهای رمزنگاری خصوصی را در سیستم عامل مسیریاب خود منتشر نکرده است. برای مثال مسیریاب Netgear R۶۸۰۰ حاوی ۱۳ گذرواژه خصوصی است.
 
حدود ۹۰ درصد مسیریاب‌های مورد مطالعه از سیستم عامل لینوکس استفاده می‌کردند. با این حال، با وجود ارائه بروزرسانی برای کرنل لینوکس، تولیدکنندگان firmware دستگاه خود را به روز رسانی نمی‌کردند.
 
تعداد زیادی از مسیریاب‌ها دارای گذرواژه کاملا شناسایی شده و یا ساده هستند، و یا دارای اطلاعات احرازهویت hard-code شده هستند که کاربران قادر به تغییر آنها نیستند.
 
این مطالعه ۵ شاخص اصلی در firmware را مورد بررسی قرار داده است تا رویکرد هر تولیدکننده نسبت به امنیت سایبری را ارزیابی کند. این موارد شامل آخرین به روزرسانی firmware؛ قدمت نسخه‌های firmware  مسیریاب‌ها؛ استفاده از تکنیک های کاهش بهره برداری از اکسپلویت‌ها؛ وجود کلید رمزنگاری خصوصی یاغیر خصوصی؛ و وجود اطلاعات احرازهویت hard-code شده است.
 
این تحقیق به این نتیجه رسید که سازندگان مسیریاب‌ها در مقایسه با سازندگان سیستم عامل‌ها به طور قابل توجهی در ارائه به روزرسانی‌های امنیتی با تاخیر مواجه هستند.
 
نتایج یک مطالعه در آمریکا در سال ۲۰۱۸ توسط مؤسسه ACI که تعداد ۱۸۶ مسیریاب اداری و خانگی از ۱۴ فروشنده مختلف را مورد تجزیه و تحلیل قرار داده است نیز یافته‌های این تحقیق را تایید می‌کند. در مطالعه موسسه ACI مشخص شد که تعداد ۱۵۵ یا ۸۳ درصد از firmwareهای مورد تحلیل در برابر حمله‌های سایبری احتمالی آسیب‌پذیر بوده و هر مسیریاب  به طور متوسط ۱۷۲ نوع آسیب‌پذیری دارد.
 
ACI سازندگان مسیریاب‌ها را برای عدم ارائه مکانیزم بروزرسانی خودکار بر روی مسیریاب‌ها مورد انتقاد قرار داد. اغلب بروزرسانی‌ها فقط پس از حملات قابل توجه به مسیریاب‌ها، مانند بدافزار Mirai IoT و بدافزار VPNFilter ارائه شدند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.