مقایسه آنتی ویروس ارائه لایسنس اورجینال آنتی ویروس | لایسنس فا

مقایسه آنتی ویروس لایسنس آنتی ویروس اورجینال لایسنس آنتی ویروس و خرید آنتی ویروس اورجینال لایسنس آنتی ویروس آویرا اینترنت سکیوریتی اینترنت سکیوریتی ای وی جی نود 32

تست امنیت هفت مچ بند ورزشی و اپل واچ (ساعت اپل) ۲۰۱۶

تست امنیت هفت مچ بند ورزشی و اپل واچ (ساعت اپل) ۲۰۱۶

مچ بندهای ورزشی و همچنین ساعت های هوشمند نه تنها در میان ورزشکاران بلکه بین همگان به شهرت رسیده اند. شرکت های بیمه سلامتی به تازگی این نوع ردیاب ها را بصورت رایگان یا با پرداخت کمک هزینه به مشتریان خود می دهند تا مبلغ کمتری را به افراد سالم پرداخت کنند. به همین دلایل موسسه AV-TEST هفت نمونه از این مچ بند ها تحت سیستم عامل اندروید و ساعت اپل را از نظر امنیتی تست کند. نتیجه : سازندگان همچنان اشتباهات نا امید کننده ای در کارنامه خود دارند.

ساعت های هوشمند و مچ بند های ورزشی یا ردیاب ها به شدت معروف شده اند و شرکت های بیمه سلامت آن ها را به مشتریان خود پشنهاد می دهند. در اروپا تنها پرداخت کمک هزینه برای خرید این نوع محصولات مجاز است. در ایالات متحده همچنین جوایزی به دارندگان در صورت انجام موارد خواسته شده داده می شود. برای مثال شرکت نیویورکی Oscar Health روزانه یک دلار در صورت انجام دادن وظیفه روزانه در بستر ورزش و سلامتی به صورت هدیه به مصرف کنندگان پرداخت می کند.

در نگاه اول فروش ردیاب های ورزشی بسیار شگرف انگیز بوده است. با توجه به IDC 24 میلیون نسخه از این نوع محصولات در سال ۲۰۱۴ ، در سال ۲۰۱۵ بیش از ۷۵ میلیون به فروش رسیده و در سال ۲۰۱۶ پیش بینی شده که بیش از ۱۰۰ میلیون بفروش برسد.

مقاومت ردیاب های ورزشی در مقابل خطرات

این تست شامل جدیدترین و بهترین مچ بندهای ورزشی موجود و ساعت اپل است. همه این مچ بندها با یک برنامه بر روی گوشی های هوشمند تحت سیستم عامل اندروید کار می کنند. به همین دلیل نتایج به ثبت رسیده شامل ردیاب ها و برنامه ها می باشد.

اپل واچ یک مورد خاص است: برخی تست ها نمی توانند مستقیما بر روی اندروید و iOS صورت گیرد. به همین دلیل نتایج تست ساعت اپل در انتهای مقاله بصورت جداگانه ای آورده شده است. محصولا زیر شامل تست بوده اند:

– Basis Peak
– Microsoft Band 2
– Mobile Action Q-Band
– Pebble Time
– Runtastic Moment Elite
– Striiv Fusion
– Xiaomi MiBand

– Apple Watch (به انتهای مقاله مراجعه شود)

متخصصین بر روی دو معضل تمرکز بیشتری کرده اند:

  1. از دیدگاه حرم خصوصی کاربران، آیا اطلاعات ضبط شده بر ردیاب یا برنامه مربوطه در مقابل جاسوسی یا هک شدن مقاوم هستند؟
  2. از دیدگاه بیمه کنندگان سلامت، آیا اطلاعات ردیاب یا برنامه مربوطه قابل دستکاری هستند؟

مورد اول در باب احتمال حمله مجرمین اینترنتی از طریق این محصولات است. چرا که اطلاعات ذخیره شده بر روی آن ها خصوصی بوده و نیاز به محافظت دارد. مورد دوم نگرانی شرکت های بیمه کننده است چزا که بیمه شدگان  می توانند با تغییر دادن اطلاعات هدف روزانه خود را انجام شده به ثبت برساند. اگر یک ردیاب ورزشی یا برنامه مربوطه آن در معرض خطر باشد احتمال در معرض خطر قرار دادن کل سیستم نیز می رود.

سه مرحله برای ارزیابی خطر

تست کنندگان هر یک از مچ بندهای ورزشی را با ۱۰ شاخص تست در سه بستر تست کرده اند: ردیاب، برنامه مربوطه و ارتباطات آنلاین. نمودار ارزیابی خطر نشان می دهد هر محصول در کدام بستر دارای ضعف بوده و تست کنندگان مشخص کرده اند این ضعف در کدام شاخص است. از کلمات “خطا” و “شکاف امنیتی” به منظور نشان دادن ضعف بزرگتر یا کوچکتر محصول مورد تست استفاده نشده است بلکه صریحا به وجود ضعف اشاره شده است. همچنین تست کنندگان تلاشی برای هک کردن از طریق این نقاط ضعف نکرده اند. آن ها حرکاتی را که یک مهاجم برای دسترسی از طریق این ضعف ها انجام می دهد و نتایج آن را بررسی کرده اند.

ردیاب – ارتباطات، احراز هویت، دستکاری

قابلیت رویت: همه ردیاب های ورزشی از بلوتوث برای اتصال به گوشی هوشمند استفاده می کنند. در این بخش ابتدا مشکلات عام مورد تست قرار گرفته اند. یکی از جنبه های امنیت رویت نشدن توسط دیگر دستگاه های بلوتوث است. نمی توان به چیزی که وجود ندارد وصل شد یا آن را ردیابی کرد. دستگاه تنها در هنگام مرتبط شدن (پیرینگ) آن هم در مدت زمان کوتاهی بایستی قابل رویت باشد. این نکته تنها در دو محصول Microsoft و Pebble رعایت شده است. Mobile Action نیز این توانایی را دارد اما همچنان قابل رویت است.

بلوتوث پنهان: دومین قابلیت امنیتی برای بلوتوث، بلوتوث پنهان است که از اندروید ۵٫۰ به بعد اضافه شد. با این قابلیت دستگاه شما بطور مداوم مک آدرس را تغییر می دهد و برای هربار وصل شدن از طریق بلوتوث یک مک آدرس جدید تولید می کند. در نتیجه آدرس اصلی هرگز پیدا نشده و قابل ردیابی نخواهد بود. تنها در Microsoft Band 2. از این تکنولوژی استفاده شده است.

توانایی پیدا شدن: برای اتصال به یک دستگاه راه های مختلفی پیش روی شماست. یکی از مطمین ترین آن ها مرتبط شدن (پیرینگ) منحصر بفرد (ردیاب تنها می تواند به یک گوشی هوشمند از پیش شناخته شده متصل شود) است که در دو محصول Basis Peak و  Microsoft Band 2 بکار رفته است. Pebble Time این اجازه را به شما می دهد که به چند دستگاه متصل شوید اما کاربر بایستی به صورت دستی هر یک را تایید کند. که البته راه ایمنی است. Xiaomi MiBand از یک روش ساده اما ایمن استفاده می کند: پس از ارتباط اولیه موفق دیگر به هیچ دستگاهی متصل نمی شود و قابل رویت نیست. مچ بندهای Striiv، Runtastic و Mobile Action در این بخش موفق به جلوگیری از اتصال به دستگاه های ناشناخته نشدند.

احراز هویت: اگر یک گوشی هوشمند سوم بتواند به ردیاب وصل شود یک قابلیت ایمنی دیگر وجود دارد: احراز هویت. تنها سه محصول از این قابلیت برای حفظ امنیت استفاده می کنند: Basis Peak، Microsoft Band 2 و Pebble Time. گرچه Xiaomi نیز از این قابلیت استفاده می کند اما از آن جایی که دور زدن آن کار ساده ایست پس در شرایط یکسان کاربردی ندارد. سه محصول باقی مانده از این قبلیت اضافه بهره مند نیستند.

جلوگیری از دستکاری: این بخش به یک اندازه برای کاربران و بیمه کنندگان حایز اهمیت است. به همین دلیل ما این بخش را در تست خود گنجاندیم تا از امنیت اطلاعات درون مچ بند یا برنامه مرتبط اطمینان حاصل کنیم. حفاظت در این بخش بایستی بگونه ای باشد که از دسترسی دیگر دستگاه ها و صاحب اصلی دستگاه جلوگیری کند. چهار محصول Basis، Microsoft، Pebble و Xiaomi حداقل استانداردها را در این بخش رعایت کرده اند. هر چند محصول شرکت Xiaomi را به علت احراز هویت ضعیف می توان گمراه کرد. برای مثال یک دستگاه سوم به راحتی می تواند مچ بند را به لرزش در آورد، زنگ بیدار باش آن را تغییر دهد یا حتی کلا آن را به تنظیمات کارخانه برگرداند.

ردیاب های ورزشی Striiv و Mobile Action از هیچ روش مناسبی برای احراز هویت یا دیگر مکانیزم های امنیتی استفاده نمی کنند پس در مقابل دستکاری آسیب پذیرند. با محصول Striiv Fusion می توان اطلاعات جسمانی کاربر را به یک ابر انسان تغییر داد. این اطلاعات برای محصاسبه مصافت طی شده و کالری سوزانده شده استفاده می شود. در طول تست توانستیم اطلاعاتی نظیر وزن، قد، طول قدم و غیره را در ردیاب Mobile Action تغییر دهیم. این اطلاعات نیز بصورت مستقیم برای محاسبات مشابه مورد قبل استفاده می شوند.

برنامه مربوطه –  حفاظت و چک کد

حافظه داخلی: حتی اگر قوی ترین مکانیزم های امنیتی برای ردیاب ها استفاده شود برنامه مربوطه با امنیت ضعیف می تواند آن را به خطر بیاندازد. به همین دلیل بررسی کردیم آیا دیگر برنامه های گوشی قابلیت دسترسی به اطلاعات ذخیره شده در برنامه مربوطه را دارند یا خیر. اگر این اطلاعات در جای اشتباهی ذخیره شوند در نتیجه در دسترس همه قرار می گیرد. Xiaomi MiBand تنها محصولی است که این مشکل را داراست. این محصول یک فایل شامل گزارش فعالیت های برنامه را در یک مکان قابل دسترس همه ذخیره می کند. این گزارش شامل تمام اطلاعات رد و بدل شده، اطلاعات کاربر، نام مستعار، اطلاعات جسمانی و اطلاعات دیگری که برای احراز هویت مورد استفاده قرار می گیرد است.

کد مبهم: در بخش دوم تست درهم بودن کد را بررسی کردیم. در واقع چک کریدم که در برنامه از کد مبهم استفاده شده است یا خیر. با این فناوری می توان از مهندسی معکوس جلوگیری و اطلاعات با ارزش را از دید مهاجم پنهان کرد. برنامه های Mobile Action، Pebble و Xiaomi به کلی از این فناوری استفاده می کنند. برنامه های Basis و Runtastic در این بخش دارای ضعف هستند. آن ها به صورت صحیح از کد مبهم استفاده نمی کنند که به مهاجمین قابلیت حمله را می دهد. محصولات Microsoft و Striiv به کلی از این فناوری استفاده نکرده اند. این بدان معناست که متخصصین می توانند کارایی برنامه را بررسی کنند.

گزارشات و اشکال زدایی: یک مشکل دیگر در بخش اشکال زدایی خروجی گزارشات و اطلاعات مربوط به اشکال زدایی (Debug) است. گاها این خروجی ها شامل اطلاعاتی برای شکست دادن مکانیزم دفاعی برنامه است. تنها برنامه مربوطه Mobile Action در این بخش به درستی عمل می کند. دیگر برنامه ها اطلاعاتی را خارج می کنند که مهاجمین علاقه دارند به آن دسترسی پیدا کنند.

ارتباط آنلاین ایمن

اخرین بخش تست چک کردن ارتباطات برنامه است. آیا این ارتباط می توانند نظارت یا کدگشایی شوند؟ همچنین چه چیزهایی قابل انتقال هستند؟ خبر خوب این است که تمامی ازتباطاتی که باید کدگزاری شده باشند کدگزاری شده اند. ارتباطات HTTP حایل شده قابل کدگشایی هستند و ارزشی ندارند.

همچنین این نکته که اطلاعات این ارتباط پس از روت کردن قابل خواندن هستند در نظر گرفته شده. این نکته حایز اهمیت است چرا که در این صورت کاربر می تواند اطلاعات را دستکاری کند. محصولات شرکت های Basis و Pebble امنیت این بخش را نیز تضمین کرده اند. آن ها به خوبی در مقابل دسترسی ناخواسته محافظت شده اند. در دیگر محصولات امکان نظارت بر این ارتباطات یا بخشی از آن و در نتیجه دستکاری آن وجود دارد. پس اطلاعات احراز هویت و همگام سازی قابل خواندن هستند.

نتیجه: ورزش، تفریح و عدم امنیت

همانگونه که سال گذشته شاهد بودیم بسیاری از شرکت های تولید کننده مچ بندهای ورزشی اشتباهات مشابهی را در محصولات خود تکرار کرده اند. آن ها معمولا به مقوله امنیت اهمیت چندانی نمی دهند. در این ارزیابی ها سه محصول Pebble Time، Basis Peak و Microsoft Ban 2 امن تر از دیگران بودند. این سه محصول خطاهای کوچکی را در بر داشتند اما با این حال گاها بستری برای حمله یا دستکاری را دارند. پس از این تست شرکت های تولید کننده تصمیم گرفته اند با به روز رسانی دستگاه های خود این مشکلات را از بین ببرند.

مچ بند ورزشی شرکت Mobile Action حاوی عوامل خطرناک زیادی است. این دستگاه قابلیت پنهان بودن از دیگران را دارد که در واقع ندارد. همچنین نقوض فراوان در بخش های احراز هویت و جلوگیری از دستکاری در آن می بینیم. در طول تست حتی می شد از طریق در پشتی (back door) اطلاعات را تغییر دارد.

در انتها سه محصول باقی مانده یعنی Runtastic، Striiv و Xiaomi توانستند بالاترین ضریب خطر را با امتیازهای ۷ الی ۸ از ده نصیب خود کنند. این محصولات به راحتی ردیابی، در احراز هویت و دستکاری شدن بسیار ضعیف، کدها برنامه های مربوطه آن ها غیر مبهم و با روت کردن می توان اطلاعات آن ها را دستکاری و نظارت کرد. بدتر از همه بدتر Xiaomi بدون رمزگزاری اطلاعات آن ها را بر روی گوشی هوشمند ذخیره می کند.

تست امینت اپل واچ (ساعت اپل)

از اپل واچ همراه یک گوشی آیفون نیز می توان بعنوان یک ردیاب ورزشی استفاده کرد. حال سوال مهم این است که آیا این محصول امنیت اطلاعات را تضمین می کند یا خیر؟

تست اپل واچ تا جای ممکن با تست محصولات تحت اندروید یکسان است. از آن جا که iOS و اندروید در برخی بخش ها تفاوت هایی دارند توانایی انجام تست ها بصورت یکسان وجود ندارد و همچنین برخی از تست ها اصلا برای دستگاه های اپل قابل اجرا نیست. به همین دلیل در رده ی ردیاب های ورزشی، آزمایشگاه بخش های قابلیت رویت، بلوتوث پنهان و کنترل ارتباطات را مورد تست قرار داده است. در بخش ارتباطات آنلاین، اینکه اطلاعات کدگزاری شده اند و با روت کردن دستگاه قابل دستکاری هستند تست شده است.

قابلیت رویت بلوتوث توسط کاربر قابل تغییر است. در نتیجه ساعت نمی تواند ردیابی شود. یکی از عناصر جذاب تست بلوتوث پنهان است. در این بخش تست انتظار می رفت مک آدرس ساعت پس از هربار روشن کردن بلوتوث تغییر کند که این کار اپل واچ را تقریبا غیر قابل ردیابی می کند.  در طول تست این تابع به درستی انجام وظیفه می کرد. اگر حالت پرواز (airplane mode) خاموش و روشن شود ساعت همیشه مک آدرس اصلی بلوتوث را نمایش می دهد. که البته مد نظر ما نبوده است.

در بخش کنترل ارتباطات اپل از یک سری تکنیک های ضد دزد استفاده می کند: اگر اپل واچ  با یک دستگاه مرتبط شود به سختی می توان این ارتباط را قطع یا عوض کرد. بازگرداندن به حالت کارخانه نیز کاری از پیش نمی برد. اگر اپل واچ به سرقت رود صاحب جدید نمی تواند آن را با آیفون خود مرتبط کند.

در بخش ارتباطات اپل واچ از ارتباطات کدگزاری شده ای استفاده می کند که از ایمنی بالایی برخوردارند. به روز رسانی آن نیز تنها از طریق HTTP کدگشایی می شود.

در اطلاعات ارتباطی که کدگشایی شده اند دیگر ایمنی دیده نمی شود، تست کنندگان توانستند بخش هایی از اطلاعات مانند اطلاعات جغرافیایی کاربر همراه با محل حضور آن و آدرس شخص را بخوانند. در قدم بعد مانند دستگاه های تحت اندروید اقدام به روت کردن آن کردیم. پس از آن بسیاری از ارتباطات قابل کنترل شدند. در همین راستا کاربر به شخصه می تواند این اطلاعات را رویت و دستکاری کند.

با وجود اینکه تست کنندگان بصورت تئوری نقطه ضعف هایی را یافته اند اما در کل اپل واچ از سطح امنیت بالایی برخوردار است. دسترسی پیدا کرن به ساعت نیاز به وقت و تلاش بسیار است که این خود گواه بالا بودن امنیت آن است.

 


برچسب ها: ,