मार्च 29, 2024

Rajneeti Guru

राजनीति, व्यापार, मनोरंजन, प्रौद्योगिकी, खेल, जीवन शैली और अधिक पर भारत से आज ही नवीनतम भारत समाचार और ताज़ा समाचार प्राप्त करें

इस “स्मार्ट” डिवाइस – Ars Technica का उपयोग करके दुनिया में कहीं भी गैराज के दरवाज़े खोलें

इस “स्मार्ट” डिवाइस – Ars Technica का उपयोग करके दुनिया में कहीं भी गैराज के दरवाज़े खोलें
गैरेज खोलने के लिए मोबाइल फोन का उपयोग कर कार के अंदर महिला।  गैराज खोलते समय महिला स्मार्टफोन में पिन लगाती है।

गेटी इमेजेज

बाजार में अग्रणी गेराज दरवाजा नियंत्रण इकाई इतनी गंभीर सुरक्षा और गोपनीयता भेद्यताओं से भरी हुई है कि जिस शोधकर्ता ने इसे खोजा है वह किसी को भी इसका उपयोग करने की सलाह देता है जब तक कि इसे ठीक नहीं किया जा सकता।

गैराज के दरवाजे खोलने और बंद करने, घरेलू सुरक्षा अलार्म को नियंत्रित करने और स्मार्ट पावर प्लग के लिए प्रत्येक $80 डिवाइस Nexx सर्वर के साथ संवाद करने के लिए खोजने में आसान सामान्य पासवर्ड का उपयोग करता है। नियंत्रक अनएन्क्रिप्टेड ईमेल पता, डिवाइस आईडी, और प्रत्येक के लिए पहले और अंतिम नाम के साथ-साथ दरवाजा खोलने या बंद करने, स्मार्ट प्लग को चालू या बंद करने या बाद के लिए इस तरह के आदेश को शेड्यूल करने के लिए आवश्यक संदेश भी प्रसारित करते हैं। समय।

सभी Nexx डिवाइसों को तुरंत डिस्कनेक्ट करें

परिणाम: मध्यम तकनीकी पृष्ठभूमि वाला कोई भी व्यक्ति ईमेल पते, डिवाइस आईडी या नाम के लिए Nexx सर्वर खोज सकता है और फिर संबंधित कंसोल को आदेश जारी कर सकता है। (घर सुरक्षा अलार्म के लिए नेक्सएक्स नियंत्रक कमजोरियों की एक समान श्रेणी के लिए कमजोर हैं।) कमांड दरवाजे को खोलने की अनुमति देते हैं, स्मार्ट प्लग से जुड़े डिवाइस को बंद कर देते हैं, या अलार्म को निरस्त्र कर देते हैं। इससे भी बदतर, पिछले तीन महीनों में, टेक्सास स्थित Nexx के कर्मचारियों ने कमजोरियों की चेतावनी देने वाले कई निजी संदेशों का जवाब नहीं दिया है।

में भेद्यता की खोज करने वाले शोधकर्ता द्वारा लिखित आखिरी बार मंगलवार को पोस्ट किया गया था. “डिवाइस मालिकों को सभी Nexx डिवाइसों को तुरंत डिस्कनेक्ट करना चाहिए और कंपनी के साथ समर्थन टिकट बनाना चाहिए ताकि उन्हें समस्या का समाधान करने के लिए कहा जा सके।”

शोधकर्ता का अनुमान है कि आवासीय और वाणिज्यिक संपत्तियों में स्थित 40,000 से अधिक डिवाइस प्रभावित हुए हैं और 20,000 से अधिक व्यक्तियों के सक्रिय Nexx खाते हैं।

नेक्सएक्स नियंत्रक लोगों को मांग पर या दिन के विशिष्ट समय पर गेराज दरवाजे खोलने और बंद करने के लिए अपने फोन या आवाज सहायकों का उपयोग करने की अनुमति देते हैं। उपकरणों का उपयोग घरेलू सुरक्षा अलार्म और स्मार्ट प्लग को दूर से उपकरणों को चालू या बंद करने के लिए नियंत्रित करने के लिए भी किया जा सकता है। इस प्रणाली का केंद्रबिंदु Nexx द्वारा चलाए जा रहे सर्वर हैं, जिनसे फोन या वॉयस असिस्टेंट और गैराज डोर ओपनर दोनों संचार करते हैं। एक नया उपकरण पंजीकृत करने की पांच-चरणीय प्रक्रिया इस तरह दिखती है:

  1. उपयोगकर्ता Nexx क्लाउड के साथ नए Nexx डिवाइस को पंजीकृत करने के लिए Nexx Home मोबाइल ऐप का उपयोग करता है।
  2. परदे के पीछे, Nexx Cloud, Nexx Cloud के साथ सुरक्षित संचार में उपयोग के लिए डिवाइस पासवर्ड लौटाता है।
  3. पासवर्ड उपयोगकर्ता के फोन पर भेजा जाता है और ब्लूटूथ या वाई-फाई का उपयोग करके नेक्सक्स डिवाइस पर भेजा जाता है।
  4. Nexx डिवाइस दिए गए पासवर्ड का उपयोग करके Nexx क्लाउड के साथ एक अलग कनेक्शन स्थापित करता है।
  5. उपयोगकर्ता अब Nexx मोबाइल ऐप का उपयोग करके गैराज के दरवाज़े को दूर से संचालित कर सकता है।

यहाँ प्रक्रिया की व्याख्या है:

सैम थबेटन

एक सामान्य पासवर्ड जिसे खोजना आसान है

यह सब काम करने के लिए, कंसोल एक हल्के प्रोटोकॉल का उपयोग करते हैं जिसे MQTT के रूप में जाना जाता है। मैसेज क्यूइंग रीमोटिंग के लिए लघु, इसका उपयोग उपकरणों और क्लाउड सेवाओं के बीच कुशल और विश्वसनीय संचार को बढ़ावा देने के लिए कम-बैंडविड्थ, उच्च-विलंबता, या अन्यथा अस्थिर नेटवर्क में किया जाता है। ऐसा करने के लिए, Nexx a का उपयोग करता है पोस्ट सब्सक्रिप्शन फॉर्मजहां साझा उपकरणों (फोन, वॉयस असिस्टेंट, गैरेज डोर ओपनर) और एक केंद्रीय माध्यम (नेक्सएक्स क्लाउड) के बीच एक संदेश भेजा जाता है।

शोधकर्ता सैम सबेटन ने पाया कि Nexx क्लाउड के साथ संचार करने के लिए डिवाइस एक ही पासवर्ड का उपयोग करते हैं। इसके अलावा, डिवाइस के साथ आने वाले फर्मवेयर या डिवाइस और Nexx क्लाउड के बीच आगे-पीछे के संचार का विश्लेषण करके इस पासवर्ड तक आसानी से पहुंचा जा सकता है।

“सभी उपकरणों के लिए एक सामान्य पासवर्ड का उपयोग करना एक प्रमुख सुरक्षा भेद्यता है, क्योंकि अनधिकृत उपयोगकर्ता साझा पासवर्ड प्राप्त करके पूरे पारिस्थितिकी तंत्र तक पहुंच प्राप्त कर सकते हैं,” शोधकर्ता ने लिखा। “ऐसा करके, वे न केवल गोपनीयता से समझौता कर सकते हैं, बल्कि उनकी सहमति के बिना अपने गेराज दरवाजे को नियंत्रित करके Nexx ग्राहकों की सुरक्षा भी कर सकते हैं।”

जब सबेटन ने सर्वर तक पहुँचने के लिए इस पासवर्ड का उपयोग किया, तो उसने न केवल अपनी मशीन और क्लाउड के बीच कनेक्शन पाया, बल्कि अन्य Nexx डिवाइस और क्लाउड के कनेक्शन भी खोजे। इसका अर्थ है कि यह उन संदेशों में साझा की गई अनूठी जानकारी के आधार पर ग्राहकों की पहचान करने के लिए अन्य उपयोगकर्ताओं के ईमेल पतों, अंतिम नाम, प्रथम आद्याक्षर और उपकरण पहचानकर्ताओं की छानबीन कर सकता है।

लेकिन हालात खराब हो रहे हैं। सबेटन अन्य उपयोगकर्ताओं द्वारा अपने दरवाजे खोलने के लिए जारी किए गए संदेशों को कॉपी कर सकता है और उन्हें दुनिया में कहीं से भी फिर से चला सकता है। इसका मतलब है कि एक साधारण कट और पेस्ट ऑपरेशन किसी भी Nexx डिवाइस को नियंत्रित करने के लिए पर्याप्त था, चाहे वह कहीं भी हो।

यहां एक प्रूफ-ऑफ-कॉन्सेप्ट वीडियो हैक दिखा रहा है:

NexxHome स्मार्ट गैरेज में भेद्यता – CVE-2023-1748।

यह घटना उस घिसे-पिटे क्लिच को ध्यान में लाती है जो आईओटी में एस – छत्र शब्द इंटरनेट ऑफ थिंग्स के लिए छोटा है – सुरक्षा के लिए खड़ा है। जबकि कई IoT डिवाइस सुविधा प्रदान करते हैं, एक खतरनाक संख्या को न्यूनतम सुरक्षा सुरक्षा के साथ डिज़ाइन किया गया है। ज्ञात कमजोरियों के साथ आउटडेटेड फर्मवेयर और अपडेट करने में असमर्थता विशिष्ट है, जैसे कि एन्क्रिप्टेड क्रेडेंशियल्स, प्राधिकरण बायपास और गलत प्रमाणीकरण जांच जैसे असंख्य दोष हैं।

Nexx डिवाइस का उपयोग करने वाले किसी भी व्यक्ति को इसे अक्षम करने और इसे किसी अन्य चीज़ से बदलने पर गंभीरता से विचार करना चाहिए, हालांकि इस सलाह की उपयोगिता सीमित है क्योंकि इस बात की कोई गारंटी नहीं है कि विकल्प अधिक सुरक्षित होंगे।

इतने सारे उपकरणों के जोखिम में होने के साथ, यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी ने एक जारी किया है सलाहकार वह सुझाव देती है कि उपयोगकर्ता रक्षात्मक कार्रवाई करें, जिनमें शामिल हैं:

  • सभी नियंत्रण प्रणाली उपकरणों और/या प्रणालियों के लिए नेटवर्क जोखिम को कम करें, और सुनिश्चित करें कि वे हैं इसे इंटरनेट से एक्सेस नहीं किया जा सकता है.
  • फ़ायरवॉल के पीछे नियंत्रण प्रणाली नेटवर्क और दूरस्थ उपकरणों का पता लगाना और उन्हें व्यावसायिक नेटवर्क से अलग करना।
  • जब रिमोट एक्सेस की आवश्यकता होती है, तो सुरक्षित तरीकों का उपयोग करें, जैसे कि वर्चुअल प्राइवेट नेटवर्क (वीपीएन), यह पहचानने के लिए कि कौन से वीपीएन में कमजोरियां हो सकती हैं और उन्हें उपलब्ध नवीनतम संस्करण में अपडेट किया जाना चाहिए। यह भी जान लें कि एक वीपीएन केवल उतना ही सुरक्षित है जितना कि उससे जुड़े उपकरण।

बेशक, नेक्सएक्स कंसोल का उपयोग करते समय इन प्रक्रियाओं को तैनात करना असंभव है, जो हमें इंटरनेट ऑफ थिंग्स की सामान्य असुरक्षा और सबेटन की सलाह पर वापस लाता है कि उत्पाद को तब तक छोड़ दें जब तक कि कोई फिक्स न आए या आने तक।