אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
צ'קמרקס הישראלית חשפה פרצת אבטחה חמורה בטאבלטים לילדים צילום: יח"צ

צ'קמרקס הישראלית חשפה פרצת אבטחה חמורה בטאבלטים לילדים

החברה זיהתה פרצה שאיפשרה להאקרים לזהות את מיקומם של טאבלטים לילדים מתוצרת חברת LeapFrog. החברה חסמה את הפרצות בעקבות המחקר והוא הוצג היום בכנס הסייבר בלאק האט

07.08.2019, 17:05 | רפאל קאהאן

מחקר שערך לאחרונה צוות המחקר של חברת Checkmarx זיהה מספר פרצות אבטחה חמורות בטאבלטים לילדים מתוצרת LeapFrog. למרות שמכשיר הטאבלט LeapPad Ultimate תוכנן מלכתחילה לאפשר בטיחות מירבית, החוקרים חשפו בו חולשות אבטחה רבות ומטרידות למדי. הממצאים נחשפו היום (ד') במסגרת כנס הסייבר בלאק האט שמתנהל בימים אלה בלאס וגאס.

קראו עוד בכלכליסט

ה-LeapPad Ultimate מציע להורים טאבלט נטול דאגות בכל הקשור לשימוש שעושים בו ילדיהם. הטאבלט מספק להם משחקים, סרטוני וידיאו, ספרים אלקטרוניים ואפליקציות שונות של הכנה לבית הספר. בעזרת הדרכה בסיסית מאדם בוגר, ילדים בני 3 עד 6 יכולים לבחור מבין מגוון אפליקציות ולהתאים באופן אישי את החשבון שלהם עם שמם ואולי גם עם תמונת סלפי.

צ צ'קמרקס זיהו פרצת אבטחה בטאבלטים לילדים של LeapFrog צ

ה-LeapPad הוא טאבלט שאינו זקוק לקישוריות אינטרנט. הוא כלי מצוין להעברת זמן בחדרי המתנה או בנסיעות ארוכות. ואולם, אחרי שבדקו אותו התברר לצוות המחקר שיש בו כמה בעיות רציניות. "גילינו שהפרוטוקול של Pet Chat (אפליקציית צ'ט שמובנית בטאבלט, ר''ק) אינו מבקש שום אימות זהות של מכשיר של הורה או של המכשיר שבו משתמש הילד'', הסביר ארז ילון, ראש צוות המחקר של צ'קמרקס.

 

במלים אחרות, כל מי שנמצא במרחק של כ-30 מטרים ממכשיר הטאבלט של LeapFrog, שבדיוק עכשיו מריץ את PetChat, יכול לשלוח הודעה למכשיר של הילד המשתמש בצ'ט. עוד זיהו החוקרים שהתעבורה היוצאת מה-LeapPad אינה מוצפנת בפרוטוקול HTTPS אלא מועברת בפרוטוקול HTTP גלוי לחלוטין. כתוצאה מכך, היא פגיעה למתקפות אדם בתווך (Man-in-the-Middle).

 

בנוסף המכשיר מכיל אפליקציה הקרויה LeapSearch – "דפדפן אינטרנט בטוח לילדים המספק גישה לתוכן אינטרנט בטוח" באמצעות אותה טכניקה של "אדם בתווך" המתוארת למעלה, הצליחו החוקרים לערוך שינויים בתוכן של אותה "אפליקציית אינטרנט בטוחה". החוקרים השתמשו בנתונים אמיתיים שהושגו בצעד הקודם ויצרו "גרסת פישינג" של פורטל LeapSearch הפנימי של היצרנית שנראית לגיטימית לחלוטין.

 

לאחר מכן הם הצליחו לבצע כמה מניפולציות בפורטל כוזב וגרמו לו לבקש מהמשתמש מידע רגיש נוסף כגון שש הספרות שהיו חסרות במספר כרטיס האשראי. חברת LeapFrog נקטה כמה אמצעים כדי לאבטח את הטאבלטים ולהגן על הילדים המשתמשים בהם. ואולם, צירוף של כמה חולשות עלול ליצור קרקע פורייה למתקפות מזיקות מאוד. LeapFrog הגיבה לממצאים ושחררה גרסאות מתוקנות זמן קצר לאחר שמסרו לחברה את הממצאים ואף הסירה לחלוטין את Pet Chat מהחנויות.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות