يقول باحثان إن معظم أجهزة التوجيه اللاسلكية المنزلية تفشل في استخدام احتياطات الأمان الأساسية الشائعة على أجهزة الكمبيوتر والهواتف الذكية تقرير جديد لاذع صدر في وقت سابق من هذا الشهر.

ويقولون إن المشاكل سيئة للغاية لدرجة أنه لا ينبغي استخدام عدد كبير من أجهزة التوجيه الموجودة حاليًا في السوق على الإطلاق.

الائتمان: Piotr Adamowicz / Shutterstock
(رصيد الصورة: Piotr Adamowicz / Shutterstock)

من بين 28 جهاز توجيه منزلي مستخدمة على نطاق واسع ، صنعتها سبع جهات تصنيع مختلفة ، تم فحصها بواسطة باركر طومسون وسارة زاتكو من مختبر Cyber ​​Independent Testing Lab ، "ليس استفاد واحد استفادة كاملة من ميزات تدريع التطبيقات الأساسية التي يوفرها نظام التشغيل. "تم وضع جميع أجهزة التوجيه في أفضل المنشورات المختلفة القوائم.

"نموذج واحد أو اثنان فقط" - لينكسيس WRT32X و نتغير R7000، قالوا - "حتى اقتربوا ، ولم تحقق أي علامة تجارية أداءً جيدًا في جميع الطرز التي تم اختبارها."

عشرة من أجهزة التوجيه التي تم اختبارها ، والتي تم تصنيعها بواسطة Asus و D-Link و Linksys و Netgear و TP-Link و Trendnet ، تستخدم معالج MIPS القديم الهندسة المعمارية ، التي يقول طومسون وزاتكو إنها تحتوي على عيب "منسي على ما يبدو" يقوض النظام تمامًا الأمان.

أكثر: ينتن أمان جهاز التوجيه الخاص بك. إليك كيفية إصلاحه

قال الباحثون: "نعتقد أن المستهلكين يجب أن يتجنبوا شراء المنتجات المبنية على بنية MIPS في الوقت الحالي".

من المرجح أن تستخدم أجهزة التوجيه الأحدث والأكثر تكلفة بنية ARM التي تشغل أيضًا معظم الهواتف الذكية وبعض أجهزة الكمبيوتر المحمولة. لكن Thompson و Zatko قالا إنه من بين أجهزة التوجيه القائمة على ARM التي فحصوها ، "لم يستفد واحد استفادة كاملة من ميزات التدريع الأساسية للتطبيق التي يوفرها نظام التشغيل."

لينكسيس بقعة مضيئة

كان هناك بعض النقاط المضيئة. نفذت جميع أجهزة التوجيه الـ 18 القائمة على ARM ميزة DEP بمعدل 99 أو 100 بالمائة. واحد من هؤلاء ، لينكسيس WRT32X ، قام أيضًا بتطبيق RELRO على 95 بالمائة من التعليمات البرمجية وحماية تجاوز سعة المخزن المؤقت على 82 بالمائة.

حتى الآن لينكسيس WRT32x لا يزال يفتقد ASLR بالكامل تقريبًا ، لذلك لا يزال هناك مجال للتحسين ". "بالنظر إلى أن ASLR هي ميزة نظافة أمان سهلة لإنجازها للتطبيقات الثنائية ، فإن هذا يعد خطأ أمنيًا رئيسيًا على مستوى الصناعة."

فشل على مستوى الصناعة

للأسف ، ليس من السهل على المستهلك التسوق لشراء جهاز توجيه جديد لمعرفة نوع بنية المعالج التي يستخدمها جهاز التوجيه المحتمل. قد يؤدي البحث عن "بنية المعالج" في Google بالإضافة إلى اسم طراز معين إلى الكثير من التفاصيل الفنية غير المفيدة - وهذا إذا كنت محظوظًا.

وأضاف الباحثون: "تشير هذه النتائج إلى فشل على مستوى الصناعة في تدقيق واختبار أمان البرنامج الذي يعمل على هذه المنتجات". "حتى أبسط الممارسات يتم تجاهلها إلى حد كبير.

أنظمة تشغيل سطح المكتب والأجهزة المحمولة الحالية ، بما في ذلك Windows و Android و iOS و macOS و Linux ، كلها استخدام ميزات الأمان التي قد لا تكون كلمات مألوفة ، ولكنها أصبحت شائعة في الماضي عقد.

وتشمل هذه الميزات التوزيع العشوائي لتخطيط مساحة العنوان (ASLR)، مما يجعل من الصعب على البرامج الضارة العثور على عمليات ضعيفة ؛ منع تنفيذ البيانات (DEP) ، والذي يمنع البرامج الضارة من استخدام التعليمات البرمجية الموجودة في أجزاء معينة من الذاكرة قيد التشغيل ؛ حماية تجاوز سعة المخزن المؤقت ، والتي تحبط نوعًا شائعًا جدًا من هجمات البرامج الضارة ؛ وفي الأنظمة المستندة إلى Linux (بما في ذلك Android) ، RELocation Read-Only (RELRO) ، والذي يوقف نوعًا شائعًا آخر من هجمات البرامج الضارة.

زلة أمان "غير مبررة"

تستخدم معظم أجهزة التوجيه أيضًا نظام Linux. ومع ذلك ، فشل مصنعوها في تنفيذ معظم أو كل هذه الاحتياطات الأمنية ، على الرغم من أن إضافتها غالبًا ما تكون رخيصة وسهلة.

كتب طومسون وزاتكو: "غياب هذه الميزات الأمنية أمر لا يمكن تبريره". "الميزات التي تمت مناقشتها في هذا التقرير يسهل اعتمادها ، ولا تأتي مع سلبيات ، وهي ممارسات قياسية في قطاعات السوق الأخرى."

قارن Thompson و Zatko برامج Linux الثابتة لأجهزة التوجيه مع توزيعة Linux لسطح المكتب عمرها عامين ، ولا تزال شائعة الاستخدام ، Ubuntu Linux 16.04 Long Term Support (المعروف أيضًا باسم Xenial Xerus).

أكثر: أفضل موسع لشبكة WiFi - معززات لتوسيع نطاق Wi-Fi الخاص بك

استخدمت توزيعة Ubuntu RELRO على 100 بالمائة من كودها القابل للتنفيذ الذي يزيد عن 5000 بت ، و DEP على 99 بالمائة. تم استخدام حماية تجاوز سعة المخزن المؤقت على 79 بالمائة من الكود ، و ASLR على 23 بالمائة. وأشار التقرير إلى أن Xenial Xerus ليس آمنًا مثل Windows 10 و macOS 10.13 ، وكلاهما يستخدم ASLR على 99 بالمائة من التعليمات البرمجية الخاصة بهما.

كانت أرقام أجهزة التوجيه أقل بكثير من أرقام توزيع Ubuntu. استخدم جهاز توجيه واحد قائم على MIPS ، وهو Linksys E2500 ، DEP على 9 بالمائة من التعليمات البرمجية الخاصة به ، وكانت هذه هي النقطة الأعلى بين جميع أجهزة التوجيه الـ 28 التي تم اختبارها. كانت بقية أجهزة التوجيه التي تستند إلى MIPS صفر بالمائة. فشلت سبعة أجهزة توجيه قائمة على ARM تمامًا في تنفيذ ASLR. سبعة عشر من أصل 28 موجهًا ، سواء المستندة إلى MIPS و ARM ، لا تحتوي على حماية تجاوز سعة المخزن المؤقت.

وقال التقرير: "لا يبدو أن هذا النقص في النظافة الأساسية يرجع إلى أي مشكلة متأصلة". "إذا لم يكن من الممكن إنشاء ميزات الأمان هذه ، فستكون القيم صفرًا في جميع المجالات. بدلاً من ذلك ، يشير هذا العرض الضعيف إلى موقف لا مبالي تجاه سلامة المستهلك وأمنه لمنتجات أجهزة التوجيه المنزلية التي تم تحليلها ".

الحد الأدنى

يعد الضعف الكامن في معظم أجهزة التوجيه المنزلية أحد أسباب قيام المتسللين الخبيرين بتغيير ملفات تستهدف بعيدًا عن أنظمة تشغيل سطح المكتب والجوال ونحو أجهزة التوجيه و "إنترنت الأشياء" الأخرى الأجهزة.

يقول طومسون وزاتكو: "تعد أجهزة التوجيه المنزلية أهدافًا سهلة مقارنة بالنظافة الأمنية الموجودة في أنظمة تشغيل سطح المكتب الحديثة". "جميع البائعين لديهم مجال للتحسين ، خاصة عندما يتعلق الأمر بالتطبيق المستمر لميزات السلامة الأساسية عبر الطرز المختلفة في خطوط الإنتاج الخاصة بهم."

  • يجب تغيير إعداد جهاز التوجيه الواحد (لكن لا أحد يفعل ذلك)
  • أفضل موجهات Wi-Fi
  • ما هو موجه شبكة Wi-Fi ، وهل تحتاج واحدًا؟