স্মার্ট টাওয়ার ব্যাক-এন্ড সার্ভারে ত্রুটিগুলি বাচ্চাদের এবং তাদের পরিবারের ঝুঁকিতে রাখে

গত দুই বছর ধরে নিরাপত্তা গবেষকরা দেখিয়েছেন যে অনেক ইন্টারনেট-সংযুক্ত "স্মার্ট" ডিভাইসগুলি নিরাপত্তার সাথে ডিজাইন করা হয়নি মনের মধ্যে এটি তাদের ব্যাক-এন্ড সিস্টেমগুলির জন্যও মনে হয়।

সর্বশেষ উদাহরণটি স্মার্ট টা প্রস্তুতকারকদের দ্বারা পরিচালিত ওয়েব পরিষেবায় পাওয়া ত্রুটিগুলি যা শিশুদের ব্যক্তিগত তথ্য এবং অবস্থানকে প্রকাশ করতে পারে।

নিরাপত্তা সংস্থার গবেষকরা র্যাপিড 7

[আরও পঠন: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

ইন ইন ইন্টারেক্টিভ পরিপূর্ণ প্রাণীদের স্মার্ট খেলনা লাইন দ্বারা ব্যবহৃত ওয়েব অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (APIs) মধ্যে গুরুতর দুর্বলতা এবং এখানে। স্মার্ট টয়লেট ডিভাইসের ক্ষেত্রে, গবেষকরা জানায় যে নির্মাতার ওয়েব পরিষেবাটি অনুরোধ প্রেরকদেরকে সঠিকভাবে যাচাই করে নি। উন্মুক্ত APIs এর মাধ্যমে, তারা সমস্ত গ্রাহকদের গুনতে এবং তাদের খেলনা আইডি, নাম, টাইপ এবং সংশ্লিষ্ট চাইল্ড প্রোফাইল খুঁজে পেতে পারে; তারা তাদের নাম, জন্ম তারিখ, লিঙ্গ এবং কথ্য ভাষায় সহ সব শিশুদের প্রোফাইল অ্যাক্সেস করতে পারে; তারা জানতে পারে যখন একজন পিতা বা মাতা বাচ্চা তাদের খেলনা নিয়ে আলাপ-আলোচনা করতে পারে এবং কোনও ব্যক্তির খেলনাকে আলাদা আলাদা অ্যাকাউন্টের সাথে যুক্ত করতে পারে, এটি কার্যকরভাবে হাইজ্যাকিং করে।

"সবচেয়ে স্পষ্টভাবে, একজন অনাথিত ব্যক্তির জন্য একটি সন্তানের সম্পর্কে এমনকি মৌলিক বিশ্লেষণের ক্ষমতা যেমন তাদের নাম, জন্ম তারিখ, লিঙ্গ, কথ্য ভাষা) অধিকাংশ বাবা সম্পর্কে উদ্বিগ্ন হবে কিছু হয়, "Rapid7 গবেষক মার্ক Stanislav একটি ব্লগ পোস্টে বলেন। "বিশেষ করে যখন, নাম এবং জন্মদিনগুলি নামহীনভাবে তথ্য গোপন করা হয়, তখন শিশু বা তারপরেও কোনও সামাজিক প্রকৌশল বা অন্যান্য দূষিত প্রচারাভিযানকে সহজতর করার জন্য শিশুটির আরও সম্পূর্ণ প্রোফাইলের সাথে এটি সংযুক্ত করা যেতে পারে। বাচ্চাদের যত্নশীল। "

এখানে জিপিএস ঘড়ি একজন পরিবারের সদস্যদের একে অপরের অবস্থান এবং কার্যক্রমগুলির নজর রাখে এবং অন্যান্য মিথস্ক্রিয়া যেমন বার্তা প্রেরণ করতে দেয়। প্ল্যাটফর্ম দ্বারা ব্যবহৃত ব্যাক-এন্ড ওয়েবসাইটি একটি বিদ্যমান পরিবারগোষ্ঠীকে একটি ব্যক্তিকে আমন্ত্রণ করার জন্য একটি API সরবরাহ করেছে, কিন্তু সঠিক যাচাই করে নি।

দুর্বলতা কোনও আক্রমণকারীকে একটি বিদ্যমান পরিবারের গোষ্ঠীর একটি দুর্বৃত্ত অ্যাকাউন্ট যোগ করতে দিতে পারে এবং পরিবার এর পক্ষে তার যোগসূত্র নিশ্চিত করতে। হামলার পরে পরিবারের সদস্যের সক্রিয় অবস্থান, সেইসাথে অবস্থানের ইতিহাসে অ্যাক্সেস থাকবে এবং অন্যান্য প্ল্যাটফর্মের বৈশিষ্ট্যগুলি অপব্যবহার করতে পারে, স্ট্যানিস্লাভ বলেন।

স্মার্ট টয় এবং এএএইচ ডিভাইসগুলির মধ্যে পাওয়া দুর্বলতা তাদের নিজ নিজ নির্মাতাদের কাছে রিপোর্ট করা হয়েছিল কার্নেগী মেলন বিশ্ববিদ্যালয়ের সিইটিটি বিভাগের সহায়তায় যেহেতু এইগুলি সার্ভার-সাইড সমস্যা ছিল, তাদের নির্মাতারা সরাসরি তাদের সার্ভারগুলিতে প্যাচ করেছিল এবং প্রকৃত ডিভাইসগুলির জন্য ফার্মওয়্যার আপডেটগুলি প্রয়োজন ছিল না।