Estimote بإصلاح مشاكل الأمان مع منارة الثابتة - 💡 Fix My Ideas

Estimote بإصلاح مشاكل الأمان مع منارة الثابتة

Estimote بإصلاح مشاكل الأمان مع منارة الثابتة


مؤلف: Ethan Holmes, 2019

منارة التقديرات الآن بدعم Eddystone

في نهاية الأسبوع الماضي ، بعد مرور أسبوعين على نشرنا لبيان الثغرات الأمنية في أحدث البرامج الثابتة منارة التقديرات ، اتصلت الشركة بنا للإشارة إلى أخبار آخر تحديث للبرامج الثابتة.

كما قمنا بتلخيص ، يستخدم Estimote آلية مصادقة إشارات مختلفة تمامًا وبرنامج ثابت لعمليات النشر واسعة النطاق ، وقد دفعوا الآن هذه البرامج الثابتة البديلة إلى جميع مجموعات مطوّري البرامج.

يعمل الإصدار 3.2 الثابت الجديد على إزالة خدمة المصادقة المستخدمة مسبقًا والضعيفة وخصائصها ، واستبدالها بخدمة جديدة للمصادقة باستخدام واجهة برمجة التطبيقات المستندة إلى مجموعة النظراء فقط.

خدمة GATT و UUID المميزة من الإصدار الجديد التقديري v3.2

بالنظر إلى نظام المصادقة الجديد ، يقرأ SDK CLOUD_AUTH_CHALLENGE_CHAR مميزة من منارة تمرير هذه القيمة إلى نقطة نهاية REST في سحابة Estimote. يستجيب الخادم مع "منارة التحدي استجابة" الذي هو مكتوب مرة أخرى إلى هذه الخاصية من قبل SDK. إذا قرأت بعد ذلك خاصية CLOUD_AUTH_LEVEL_CHAR ، فسيتم إرجاع قيمة النجاح -1 (0xFF) ، وتتم مصادقتك على المنارة.

لقد نقل Estimote بشكل فعال مخطط المفتاح الثابت الخاص به من SDK ، حيث تعرض لأي شخص لديه القدرة على عكس ذلك هندسيا ، إلى السحابة حيث لا يتم اختراقه بسهولة.

سمح لك إلغاء ترجمة الإصدار السابق من Estimote SDK باسترداد المفتاح الثابت.

هذا النهج أفضل بلا حدود ، لكنه لا يزال غير آمن بالضرورة. كما تثبت الأزمة المحيطة بالمفتاح الرئيسي لنظام أندرويد ، فإن أنظمة المفاتيح الثابتة عرضة بطبيعتها للهجمات غير المباشرة.

مسألة كيفية استرداد إشارات عندما تكون الخدمة السحابية معطلة سؤال مفتوح. يجب عليك أن تتساءل عما إذا كان هناك باب خلفي في رمز البرنامج الثابت للسماح بهذا الموقف ، إن لم يكن مع وجود خدمة السحاب في حالة حصولك على قطعة من الأجهزة للقراءة فقط. ولكن إذا كان هناك ، ثم لديك ثغرة أمنية أخرى.

هناك أيضًا إمكانية إلغاء تجميع البرامج الثابتة الجديدة للإشارات. على الرغم من أن نظام المصادقة يستغرق وقتًا طويلاً ، فإنه يمكن العثور عليه من خلال القيام بذلك ، لأنه يحتاج إلى استخدام نفس الخوارزمية مثل الخدمة السحابية للتحقق من استجابة التحدي. إذا تم عكس المخطط الجديد على الإطلاق بهذه الطريقة ، فسيكون المهاجم قادرًا على اختطاف أي منارة تشغل إصدار البرنامج الثابت الجديد. ما الذي يطرح السؤال التالي ، لماذا لم تختار التقديرات كلمة مرور قابلة للتكوين من قبل المستخدم مثل العديد من بائعي المنارات الآخرين الذين طبقوا؟

ومع ذلك ، إذا كنت تملك جهاز منارة Estimote ، خاصةً إذا كنت قد نشرت إشارات في البرامج الثابتة للمطور ، فيجب عليك تنزيل تطبيق iOS (الإصدار 2.15.1) أو تطبيق Android (الإصدار 1.0.5) أو التقديرات قم بتثبيت إصدار SDK 3.4.0 وقم بتحديث البرنامج الثابت للإشارة إلى أحدث إصدار للبرامج الثابتة 3.2. سوف يقلل بشكل كبير من إمكانية اختطاف المنارة.

تحديث: جاكوب كرزيش ، الرئيس التنفيذي والمؤسس المشارك لـ Estimote ، عاد إلينا ليقول ذلك ،

كنقطة توضيحية ، لم نعد نستخدم نظام مفتاح ثابت: فكل منارة لديها الآن مفتاحها الفريد الخاص بها ، ويتم استبدال المفتاح نفسه من حين لآخر (والأهم من ذلك: بعد إجراء ترقية البرنامج الثابت أيضًا). يتم تخزين هذا المفتاح في ذاكرة متقلبة ، لذا لن يساعد إلغاء تجميع البرامج الثابتة - الشيء الوحيد الذي يمكن العثور عليه هو نظام التشفير الخاص بنا استنادًا إلى الخوارزميات القياسية الصناعية مثل AES ، التي لا يمكن كسرها بسهولة. حتى لو نجح شخص ما في اختراق أحد المنارات ، فلن يسهل الاتصال بأي منارة أخرى ، لأن مفاتيحها عشوائية بشكل أساسي.



قد تكون مهتمة

التحفيز * مسافات

التحفيز * مسافات


Make: Talk 009 - AnnMarie Polsenberg Thomas، Squishy Circuits

Make: Talk 009 - AnnMarie Polsenberg Thomas، Squishy Circuits


معلق مع صديقنا ، روي ج

معلق مع صديقنا ، روي ج


صانع Faire كشك تصميم التحدي

صانع Faire كشك تصميم التحدي