צ'ק פוינט וקלארוטי חשפו חולשות אבטחה בפלטפורמת הטלארפואה של QuickBlox – מיליוני נתונים פרטיים בסיכון

חוקרי צ'ק פוינט Check Point Research (CPR) וצוות המחקר של קלארוטי Team82, חשפו חולשות אבטחה משמעותיות בארכיטקטורת פלטפורמת QuickBlox, שאם נוצלו, עלולות היו לאפשר לתוקפים לגשת לעשרות אלפי בסיסי נתונים של משתמשי אפליקציות ולהעמיד מיליוני רשומות של משתמשים בסיכון. חולשות האבטחה התגלו במסגרת מחקר משותף שבחן את האבטחה של QuickBlox SDK.

QuickBlox הינה פלטפורמת צ'אט ושיחות וידאו הנמצאת בשימוש לפיתוח אפליקציות iOS, אנדרואיד ואינטרנט. הפלטפורמה מותקנת בבסיסם של שירותי צ'אט ווידאו בזמן אמת, הזמינים באפליקציות טלרפואה, במכשירי אינטרקום, באפליקציות בתחום הפיננסים וביישומי IoT חכמים רבים המשמשים מיליוני אנשים. היא מספקת API לאימות, ניהול משתמשים, צ'אט והודעות, ניהול קבצים ועוד, וכן SDK פשוט לשימוש, המאפשר יכולות קול ווידאו.

אמיר פרמינגר, סגן נשיא למחקר בקלארוטי אמר כי: "המחקר מצביע על חולשות אבטחה בעלות פוטנציאל נזק רחב היקף. מאחר שהפלטפורמה מותקנת במספר רב של מכשירי אינטרקום ואפליקציות בתחום הרפואה, תוקפים עשויים היו להגיע למידע של משתמשים רבים ולהשתלט חשבונות, תוך קבלת גישה למצלמות ומיקרופונים של מכשירים. בתחום הרפואי, התרחיש מפחיד במיוחד מאחר שהחולשות היו יכולות לאפשר התחזות לרופא, שינוי מידע רפואי רגיש ותקשורת עם מטופלים אמתיים. אנו שמחים על שיתוף הפעולה עם QuickBlox שאפשר לתקן זאת במהירות".

חוקרי Team82 ו-CPR עבדו בשיתוף פעולה הדוק עם QuickBlox כדי לפתור את כל החולשות שנחשפו. לאחר שהכירה בממצאים, QuickBlox התחייבה ליישם תיקונים על ידי תכנון ארכיטקטורה וממשק API חדשים ומאובטחים, ודחקה בלקוחותיה לעבור לגרסה העדכנית ביותר.

מחקר חולשות האבטחה

בדוח המשותף שפרסמו גופי המחקר בבלוג של  Claroty Team82, הודגם כיצד תוקפים יכולים לנצל את חולשות האבטחה באפליקציות רבות המבוססות על פלטפורמתQuickBlox SDK , כולל יישומי אינטרקום חכמים ואפליקציות טלרפואה. צוותי המחקר גילו את חולשות האבטחה לראשונה תוך כדי מחקר על אפליקציית אינטרקום. על ידי חיבור שרשרת החולשות עם פגמים אחרים באפליקציות שונות שנבדקו, החוקרים מצאו דרכים ייחודיות לגלות התקפות שתוקפים יכלו לממש על מנת לגשת למידע מרחוק באמצעות יישומי אינטרקום וכן להדליף מידע רגיש של חולים מפלטפורמת רפואה משמעותית.

ניצול פלטפורמת IoT של אינטרקום מסוג Rozcom

החוקרים גילו מספר חולשות אבטחה באינטרקום החכם של היצרנית הישראלית Rozcom, הנמכר לבנייני מגורים ומשרדים. חולשות האבטחה שנמצאו בארכיטקטורה של האינטרקום, לו נוצלו ע״י תוקפים, היו מאפשרות לגשת למידע אישי של לקוחות ואף לבצע התקפות השתלטות מלאות על חשבונות ענן של מכשירי אינטרקום ובכך לשלוט במכשירים מרחוק.. מערך הסייבר הישראלי פרסם חלק ניכר מהפגיעויות (CVE) בפלטפורמת Rozcom.

דליפה של בסיסי נתונים של משתמשים והיסטוריה רפואית מפלטפורמות טלרפואה

פלטפורמות טלרפואה משמשות למתן שירותים ומידע רפואיים מרחוק. הן מאפשרות תקשורת ווידאו וצ'אטים בין חולים ורופאים מרחוק, טיפול, ייעוץ, תזכורות, חינוך, התערבות, ניטור ואשפוז מרחוק. שילוב החולשות של QuickBlox עם חולשות ספציפיות של אפליקציות אלו, אפשר לחוקרים להדליף את כל בסיס הנתונים של המשתמשים יחד עם הרשומות הרפואיות וההיסטוריה שלהם.