fbpx

חברת הסייבר Checkmarx זיהתה פרצת אבטחה בשואבי האבק של Trifo

חברת צ'קמרקס (Checkmarx) חושפת בשעה זו חולשות אבטחה בשואב אבק רובוטי חכם. זאת, במסגרת בדיקה שביצע צוות המחקר של החברה במספר מכשירי IOT שניתן למצוא כיום בבתים ובמקומות עבודה. המקרה הבא, של שואב רובוטי מתוצרת Trifo, ממחיש את הסיכון שבהכנסת מכשיר חכם המחובר ל-Wi-Fi, למשרד או לבית, ובפרט מכשיר המצויד במצלמת וידאו.

צוות החוקרים בחן את רמת האבטחה של השואב וגילה מספר חולשות אבטחה בדרגה חמורה ובינונית כאשר דרכן תוקף יכול להשיג בקלות צילומי וידאו מכל שואב רובוטי של היצרן, המחובר לאינטרנט. בדרך זו,  הוא יכול "לרגל", תוך שהוא עוקף את הרשאות הפרטיות. הרובוט, שמחובר ל-Wi-Fi, מסייר בבית ומצלם את החדרים השונים – מגובה כחצי מטר ומעלה, וכך ניתן לקבל תמונה מלאה כמעט.

בנוסף, האקרים יכולים לזהות את מיקום הבית ולמפות אותו – ע"י זיהוי הרשת, צילום תמונה ממצלמת הרובוט והשגת נתוני מיפוי הבית המבוצע ע"י הרובוט. במשרד אפשר לנצל את השואב כדי להשיג צילומים, מיקום ומפה של החדר. צ'קמרקס דיווחה ליצרן מספר פעמים על הפרצה ואף חשפה בפניו את הדוח המלא – אך לא התקבלה אף תגובה והפרצה טרם תוקנה. ההמלצה היא להפסיק את השימוש במוצר, או לפחות לכסות את מצלמת המכשיר.

לדברי ארז ילון, ראש צוות המחקר בצ'קמרקס, "בכל פעם שאנחנו כצרכנים ניגשים למכשיר כזה מרחוק דרך הטלפון הנייד אנחנו למעשה פותחים סיכון חדש, סוג של דלת אחורית לרשת הביתית ולכל שאר המכשירים המחוברים בבית, לרבות המחשב. במכשירים עם מצלמה הפלישה לפרטיות רק מחמירה את הסיכון."

לדבריו, המחקר הזה הוא חלק מהמאמצים המתמשכים של צ'קמרקס, מובילה עולמית באבטחת אפליקציות, להניע את השינויים הנדרשים בשיטות אבטחת התוכנה בקרב יצרני מכשירי IoT. זאת, תוך הגברת המודעות לאבטחה בקרב הצרכנים שרוכשים אותם ומשתמשים בהם. "בעולם שהופך למחובר יותר ויותר, שמירה על פרטיותם של צרכנים וארגונים חייבת לעמוד בראש סדר העדיפויות", אמר.

לינק לסרטון שמדגים את הפרצה: https://www.youtube.com/watch?v=0xEzBhG-RlQ

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן