Παρασκευή, 15 Ιανουαρίου, 21:55
Αρχική security Χάκερς μπορούν να "εισβάλλουν" σε νοσοκομεία μέσω των Temi robots!

Χάκερς μπορούν να “εισβάλλουν” σε νοσοκομεία μέσω των Temi robots!

Τα Temi robots που χρησιμοποιούνται σε νοσοκομεία και κέντρα φροντίδας για να βοηθήσουν τους ασθενείς και τους ηλικιωμένους, μπορούν να βρεθούν στο στόχαστρο των χάκερς. Tο Advanced Threat Research (ATR) group της McAfee αποκάλυψε πριν λίγες μέρες στο Black Hat USA 2020, μία νέα έρευνα για τα Temi robots, στα οποία εντοπίστηκαν ευπάθειες που κάποιος μπορεί να εκμεταλλευτεί απομακρυσμένα, οδηγώντας σε mobile, audio και video παραβίαση ενός νοσοκομείου.


Το Temi robot της Robotemi Global, ένα “προσωπικό ρομπότ” που χρησιμοποιεί μια σειρά από αισθητήρες, τεχνολογίες τεχνητής νοημοσύνης (AI) και μηχανικής μάθησης (ML), καθώς και σύγχρονη ενεργοποίηση φωνής και σύνδεση κινητής τηλεφωνίας για την εκτέλεση λειτουργιών, συμπεριλαμβανομένων εργασιών προσωπικής βοήθειας, απάντηση σε ερωτήματα Διαδικτύου και διευκόλυνση απομακρυσμένων βιντεοκλήσεων. Αυτός είναι και ο λόγος που θεωρείται ένας “καλός βοηθός” για τα νοσοκομεία αλλά και άλλες εγκαταστάσεις.

Temi robots-νοσοκομεία

Όντας διαθέσιμο τόσο για προσωπική όσο και για επαγγελματική χρήση, το Temi robot εργάζεται στην επιχείρηση, καθώς και σε νοσοκομεία και κέντρα φροντίδας ηλικιωμένων. Το μόνο που χρειάζεται για τη ρύθμιση είναι μια κινητή συσκευή να σαρώσει τον κώδικα QR του ρομπότ, προκειμένου να μπορέσει να το χειριστεί. Επίσης, είναι δυνατόν να δημιουργηθούν ομάδες επαφών που μπορούν να καλέσουν το ρομπότ, μία δυνατότητα που είναι ιδιαίτερα χρήσιμη για τους επαγγελματίες του υγειονομικού τομέα, αλλά και τα μέλη της οικογένειας.


Οι ερευνητές ασφαλείας της McAfee εξέταζαν επί μήνες τα πάντα πάνω στο συγκεκριμένο ρομπότ – από το firmware και τις διαδικασίες ενημέρωσης έως τη σύνδεση εφαρμογών και την ανταπόκριση στις εντολές.

Συνολικά, βρέθηκαν τέσσερα τρωτά σημεία:

  • Η χρήση hard-coded credentials
  • Ένα σφάλμα επικύρωσης προέλευσης
  • Η έλλειψη ελέγχου ταυτότητας για κρίσιμες λειτουργίες
  • Παράκαμψη ελέγχου ταυτότητας


Τα ζητήματα ασφαλείας που εντοπίστηκαν από τη McAfee, αποδίδονται στις ευπάθειες που εντοπίζονται ως CVE-2020-16170, CVE-2020-16168, CVE-2020-16167 και CVE-2020-16169. Χάκερς θα μπορούσαν να εκμεταλλευτούν αυτές οι ευπάθειες για να κατασκοπεύσουν τις βιντεοκλήσεις του Temi robot, να “εμποδίσουν” κλήσεις που προορίζονται για έναν άλλο χρήστη, ακόμη και να χειριστούν το ρομπότ από απόσταση.

Temi robots-νοσοκομεία

Οι ερευνητές εξέτασν όχι μόνο το ρομπότ αλλά και το Android app που το συνοδεύει. Το πρώτο σφάλμα που βρέθηκε στο Android app, απαιτούσε μόνο τον αριθμό τηλεφώνου ενός χρήστη για εκμετάλλευση. Χάκερς θα μπορούσαν εύκολα να κάνουν κάποιες τροποποιήσεις στο Android app, ανακαλύπτοντας τα static IDs και τα credentials, γεγονός που θα τους επέτρεπε να εμποδίσουν ή να παρακολουθήσουν τηλεφωνικές κλήσεις που προορίζονται για το θύμα. Επιπλέον, συνδυάζοντας ADB, Apktool, Keytool και Jarsigner, θα μπορούσαν να προσαρμόσουν το app περαιτέρω με σκοπό την κλιμάκωση των προνομίων λόγω έλλειψης ελέγχων ακεραιότητας είτε από τo ίδιo τo app είτε από servers του Temi που χρησιμοποιούνται για τη σύνδεση mobile apps με τα ρομπότ τους. Με τον αριθμό τηλεφώνου κάποιου που έχει καλέσει πρόσφατα το Temi robot, ένας χάκερ μπορεί να εντοπίσει σε ποιον αριθμό δωματίου, αλλά και σε τί κατάσταση βρίσκεται ένας ασθενής.

Οι ευπάθειες υπήρχαν στο Temi robot που εκτελεί την έκδοση firmware 20190419.165201, το Launcher OS έκδοση 11969 και το Robox OS έκδοση 117.21. To ευάλωτο Android app εκτελούσε την έκδοση 1.3.3.

Η McAfee ανέφερε τα ευρήματά της στις 5 Μαρτίου στην Robotemi Global. Η εταιρεία κυβερνοασφάλειας ανέφερε ότι ο πωλητής ρομποτ ήταν από τις εταιρείες με τις οποίες συνεργάστηκε καλύτερα, αφού ανταποκρίθηκε άμεσα και αποτελεσματικά, με αποτέλεσμα οι ευπάθειες να επιδιορθωθούν γρήγορα μετά την ανακάλυψή τους.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...