شرکت هیوندا در زمان فروش وسایل نقلیه به خریداران خود برنامهای موسوم به Blue Link را در اختیار آنها قرار میدهد. این برنامه که برای هر دو پلتفرم اندروید و iOS ارائه شده به مالکان ماشینها اجازه میدهد از راه دور بر وسایل نقلیه خود کنترل داشته و آنها را تحت نظارت قرار دهند. این برنامه یکسری قابلیتهای جالب توجه در اختیار کاربران خود قرار میدهد که از آن جمله به روشن کردن از راه دور ماشین؛ کنترل دمای داخل ماشین، بازیابی سرقت خودرو، قفل کردن و باز کردن قفل از راه دور، بررسی وضعیت سالم بودن ماشین و ارائه گزارش خودکار در ارتباط با کارکرد صحیح تجهیزات ماشین میتوان اشاره کرد.
مطلب پیشنهادی
پژوهشگران امنیتی شرکت Rapid7 موفق شدند دو آسیبپذیری بحرانی را در این برنامه شناسایی کنند. یکی از این آسیبپذیریها در ارتباط با مکانیزم انتقال اطلاعات ثبت شده است. ویژگی که اولین بار آذرماه سال گذشته به این برنامه افزوده شد. نسخههای 3.9.4 و 3.9.5 این برنامه فایل گزارش رمزنگاری شده را از طریق پروتکل انتقال ابر متن روی یک آدرس IP از پیش تعریف شده بارگذاری میکردند.
نام این فایل گزارش یکسان با آدرس ایمیل کاربر بوده و محتوای آن متشکل از نام کاربری، گذرواژه، پین و دادههای مربوط به موقعیتیاب جهانی است. در حالی که اطلاعات درون این فایل رمزنگاری شدهاند و حتا امکان هاردکد کردن کلید مورد استفاده در رمزنگاری امکانپذیر نیست، با این وجود یک هکر از طریق پیادهسازی یک حمله مرد میانی و با استفاده از یک شبکه وایفای آلوده قادر است ترافیک مربوط به این برنامه روی پروتکل http را استراق سمع کرده و به فایل گزارش و دادههای درون آن دست پیدا کند. هکرها از طریق دادههای درون این فایل گزارش میتوانند موقعیت مکانی ماشین را شناسایی کرده، قفل آنرا باز کرده و در نهایت ماشین را روشن کنند.
Rapid7 در گزارشی که در این ارتباط منتشر کرده و جزییات را مورد بررسی قرار داده برای حمله مرد میانی درجه متوسط و برای کلیدهایی که در فرآیند رمزنگاری هاردکد مورد استفاده قرار و ضعیف بودهاند از درجه بحرانی استفاده کرده است.
این آسیبپذیریها در ماه فوریه شناسایی شدند و هیوندا وصله مربوطه را برای برنامههای اندروید و iOS در ماه مارس عرضه کرد. هیوندا در نسخه جدید ویژگی ارسال اطلاعات ثبت شده را حذف کرد و همچنین روی آدرس IP که فایل گزارش برای آن آدرس ارسال میشود پروتکل TCP را غیرفعال کرد. این شرکت گفته است: «تا به امروز هیچگونه گزارش یا مدرکی که نشان دهد در دنیای واقعی از این آسیبپذیریها در جهت مخرب استفاده شده است مشاهده نکردهایم. به واسطه آنکه هکرها برای پیادهسازی موفقیتآمیز این حمله در یک شبکه آلوده به مجوزهای سطح بالا احتیاج دارند. با این حال، به کاربران توصیه میکنیم در اولین فرصت نسخه جدید این برنامه را دریافت کنند.» واقعیت این است که برنامههای موبایل ارائه شده از سوی تولیدکنندگان وسایل نقلیه به آسیبپذیریهایی آلوده است که ممکن است از سوی هکرها مورد استفاده قرار گیرد. در ماههای گذشته نیز پژوهشگران از وجود رخنههایی در برنامه همراهی خبر دادند که ساخت شرکت تسلا بود.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟