ايتنا - استاندارد ZigBee حاوی تعدادی حفره امنیتی است

محققان شرکت امنیتی Cognosec در کنفراسی نشان دادند که استاندارد ZigBee حاوی تعدادی حفره امنیتی است.

به گزارش ایتنا از مرکز ماهر، ZigBee یک استاندارد بی‌سیم جهانی باز مبتنی بر IEEE 802.15.4 است که توسط کارخانه‌های سازنده دستگاه‌های IoT مورد استفاده قرار می‌گیرد.

هدف این پروتکل ارتقاء سطح ارتباط و سازگاری بین دستگاه‌های مختلف IoT می‌باشد و با وجود مزیت‌های آن خطرهای امنیتی شناخته شده زیادی این پروتکل را تهدید می‌کند.

دستگاه‌های IoT در بخش فناوری‌های خانگی مورد استفاه قرار می‌گیرد.در حالیکه این دستگاه‌ها باعث می‌شوند تا خانه‌ها تبدیل به مکانی کارا و جالب شود، پس از اتصال این دستگاه‌ها به اینترنت، آن‌ها تبدیل به مسیری برای سوءاستفاده بالقوه از آسیب‌پذیری‌های نرم‌افزاری می‌شوند و تولیدکنندگان IoT اطلاعی در خصوص خطرهای امنیتی ندارند.

استانداری که به دستگاه‌های IoT اجازه می‌دهد تا با هم ارتباط برقرار کنند در معرض خطر قرار دارد.

محققان Cognosec دریافتند این امکان وجود دارد که با سوءاستفاده از شبکه‌های ZigBeeکنترل دستگاه‌های IoT متصل به هاب استفاده کننده از این پروتکل در اختیار مهاجمان قرار گیرد.

تنظیمات ساده و استفاده نامناسب از ویژگی‌های این دستگاه‌ها تاثیر منفی بر روی امنیت آن‌ها می گذارد و این امر ناشی از عدم وجود پیکربندی‌های مناسب و لایه‌های حفاظتی برای محصولات IoT استفاده کننده از پروتکل ZigBee می‌باشد.

یک مشکل شناسایی شده در این پروتکل می‌تواند کل شبکه را تحت تاثیر قرار دهد. این مشکل به عنوان آسیب‌پذیری رویه زوج شدن دستگاه‌ها شناخته شده است که به افراد ثالث اجازه می‌دهد تا تبادل کلیدهای شبکه را شنود کنند.

این مساله می‌تواند دستگاه‌ها را در معرض خطر حملات MitM و ارتباط ربایی دستگاه قرار دهد. در نتیجه این مشکل در رده امنیتی بحرانی قرار می‌گیرد.

محققان پس از انجام مراحل تست بر روی دستگاه‌های IoT دریافتند که سازندگان اغلب ویژگی‌های امنیتی حداقلی را برای این دستگاه‌ها پیاده‌سازی می‌کنند و مشتریان نیز گزینه‌های متعدد برای بالا بردن استاندارهای امنیتی از قبیل تغییر رمز عبور و نصب نرم‌افزارهای امنیتی جانبی را ندارند.

کلیدهای انتقال پیش فرض قابل تغییر نمی‌باشند و می‌توان به راحتی آن‌ها را در وب جستجو کرد.