CTO של Ripple מגיב לפגיעות המשפיעה על מיליארד מכשירים
CTO של ריפל מתייחס למחדל שעשוי להשפיע על מכשירים חכמים ברחבי העולם: מה תופיע בתגובת החברות המעורבות?
דוד שוורץ, המנהל הטכנולוגי הראשי של חברת הבלוקצ'יין Ripple, התייחס לאחרונה לפגיעות חדשה שהתגלתה בתחום הבלוטות', אשר משפיעה על כמעט מיליארד מכשירים. "לא טוב", כך ציין הארכיטקט מאחורי ה-XRP Ledger בפוסט ברשתות החברתיות.
גילוי הפגיעות ורכיב ה-ESP32
בתחילת השבוע, חברת Tarlogic הספרדית, המתמחה באבטחת סייבר, חשפה כי גילתה דלת אחורית ברכיב ה-ESP32 הנמצא בשימוש רחב. רכיב זה, אשר עלותו נמוכה ועומדת על כ-2 דולרים, נמצא ברוב מכשירי ה-IoT המשתמשים בטכנולוגיית בלוטות'. בין הדוגמאות למכשירים אלו ניתן למצוא שעונים חכמים, מנעולים חכמים, בקרי LED, עוקבי כושר, רמקולים במערכת ה-IoT, מצלמות אבטחה ועוד.
בעיית הפגיעות ופקודות נסתרות
מתברר כי ניתן להדביק את הרכיב בקוד זדוני בשל קיומן של פקודות נסתרות. Tarlogic גילתה 29 פקודות שלא תועדו בעבר, אשר עלולות לאפשר לגורמים זדוניים לגשת למכשירים המשתמשים ברכיב ה-ESP32 גם כאשר הם מנותקים מהרשת. המניעים שלהם עשויים לנוע מגניבת מידע אישי רגיש ועד לריגול.
דיון סביב נושא הדלת האחורית
יחד עם זאת, מספר פרשנים העלו שאלות האם פקודות נסתרות יכולות באמת להיחשב כדלת אחורית. הדיון בסוגיה זו ממשיך להעלות תהיות ומצביע על הצורך בבדיקה מעמיקה ויסודית יותר של הרכיבים הללו בכדי להבטיח את שלומם של המשתמשים.
תגובה פוטנציאלית מ-Espressif
חברת Espressif הסינית, המפתחת של רכיב ה-ESP32, עדיין לא הגיבה על הממצאים החדשים. זאת ועוד, מתברר כי לא קיימת פתרון פשוט לבעיה זו שאינו כרוך בהחלפה כללית של החומרה המושפעת.
תזכורת לפגיעות קודמת
זו אינה הפעם הראשונה ששוורץ מזהיר מפני פגיעויות חשובות. בשנה האחרונה, הוא גם התריע על פגיעות ב-Windows שאיפשרה לתוקפים להריץ קוד שרירותי בתוך טווח של Wi-Fi.
ערעור אמון הצרכנים והשלכות על תעשיית ה-IoT
החשיפה החדשה הזו עשויה לערער את אמון הצרכנים במכשירי IoT ובמוצרים מבוססי רכיבים זולים. הפגיעות מעלה חששות בקשר לאבטחת המידע האישי של מיליוני משתמשים ברחבי העולם, ומביאה את התעשייה להורות לקוחות לנקוט באמצעי זהירות נוספים.
צעדים להימנע מפגיעות עתידיות
ישנן מספר המלצות להימנע מפגיעות בעתיד. ביניהן, השקעה בפיתוח רכיבים עם אבטחת מידע חזקה יותר, יישום פרוטוקולים מחמירים יותר לבדיקת רכיבים לפני השקתם לשוק, והעלאת המודעות בקרב משתמשים בכל הנוגע לשימוש בטוח במכשירים טכנולוגיים.
בעת שמכשירי IoT הופכים לחלק בלתי נפרד מחיי היומיום, החשיבות להמשיך ולשפר את אבטחתם הופכת להיות קריטית יותר מתמיד. רק באמצעות מאמצים מתמשכים יכולים הצרכנים להרגיש בטוחים בשימושם היום-יומי במכשירים החכמים השונים.
