נחשפו כשלים בנקודות גישה סלולריות ל-IoT; היצרניות התעלמו

נקודות גישה סלולריות (cellular gateways) מאפשרות הדלפת מידע שעלול לחשוף תשתית קריטית לסיכון, כך על פי ג'סטין שאטוק, חוקר סיכונים ראשי ב-F5 Labs. שאטוק הציג את ממצאיו בכנס Black Hat USA שנערך באחרונה בלאס וגאס.

לדברי שאטוק, "נקודות גישה סלולריות משמשות על מנת לחבר שירותי חירום והצלה ותשתיות קריטיות אחרות, כולל כלי רכב של כוחות הביטחון והמשטרה. חוקרים שלנו הצליחו לזהות יותר מ-100 אלף התקנים שהושפעו מכשלים בנקודות הגישה הסלולריות".

"הכשלים עלולים לאפשר לתוקף לזהות מיקומים של תשתית, לעקוב אחר אנשים ואפילו לבצע מניפולציה או להשחית תקשורת. בנוסף לפגיעויות, גילינו חשיפה של מידע אודות נקודות הגישה הסלולריות. עוד מצאנו כי כמה התקנים חסרים אותנטיקציה מתאימה, דבר שמאפשר לתוקפים להתחבר בפשטות, בלא כל אתגר משמעותי", אמר.

"סיכון אבטחה משמעותי"

הוא הוסיף כי "F5 החלה ליצור קשר עם יצרנים שהושפעו ב-2016 ונתקלה באתגר בהנעת היצרנים לבצע הטלאות. הודענו על 400 חשיפות וקיבלנו מהיצרניות של רכיבי האינטרנט של הדברים אפס תגובות. כחוקר איומים זה ממש שבר את הלב לראות שאנחנו מודיעים על פגיעויות ואיש לא שם לב".

רק בחלוף שנתיים, אמר, חלק מהיצרניות טרחו לתקן את הפגיעויות. אחת שעשתה זאת היא סיירה, שאנשיה עבדו יחד עם חוקרי 5F לתיקון הבעיה.

"הרכיבים האלה פולטים מידע בלא הרף. כל שצריך הוא פשוט לקצור את הנתונים בחופשיות ובלא הפרעה. יש פה בעיה חמורה של תצורה שגויה, המהווה סיכון אבטחה משמעותי. אני שבור-לב מעט מזה שמצאנו 13,000 חשיפות, שהביאו רק לשתי תגובות ולדיאלוג אחד", סיכם שאטוק