btbilgi

Nesnelerin İnterneti (IoT) cihazlarının piyasaya çıkışının üzerinden yıllar geçti. IoT teknolojisinin kullanım alanı her sene genişliyor ama bir yandan güvenlik problemleri de yükseliyor. Bu alandaki ürünleri inceleyen uzmanlar, her seferinde yeni tehditler buluyorlar. Kullanıcı güvenliğinin riske atılmasına neden olan bu tehlikelere Fibaro marka akıllı ev kontrol cihazı da eklenmiş durumda.

Bir Kaspersky çalışanı evine kurduğu akıllı sistemin incelenmesi için şirketin araştırmacılarından yardım istemiş. Güvenlik araştırmacılarına akıllı ev sisteminin kontrol cihazına erişim vermiş. Bu türden kontrol cihazları akıllı ev sistemindeki tüm işlemleri birbirine bağlıyor ve her şeyi gözetleyebiliyor. Akıllı ev kontrol cihazlarına yapılacak başarılı bir saldırı, ev ekosisteminin tamamına erişilmesini sağladığı için özellikle önemli. Bir kez ev ağına giren kötü niyetli kişiler, casusluktan fiziksel sabotaja kadar birçok farklı operasyon gerçekleştirebiliyor.

Araştırmacılar denemeler sırasında birçok potansiyel saldırı vektörü keşfettiler. Ev otomasyon sistemlerinde sıkça kullanılan Z-Wave kablosuz iletişim protokolünün, yönetim panelinin web arayüzü üzerinden saldırı gerçekleştirilebilmeye imkan verdiği saptanmış. Araştırmacılar saldırı için bulut altyapısının kullanılabildiğini de farketmişler. Cihaza işlem talebi göndermekte kullanılan yöntemler incelendiğinde ise, yetki verme sürecindeki açıkların uzaktan kod çalıştırma fırsatı verdiği anlaşılmış.

Fibaro akıllı ev kontrol cihazlarında güvenlik açıkları

Bu yöntemler kullanıldığında dışarıdan bir saldırgan Fibaro akıllı ev kontrol cihazından buluta yüklenen tüm yedeklere erişip, zararlı yazılım içeren yedekleri buluta yükleyebiliyor. Saldırganlar bu yedekleri de sistemde hiçbir yetkileri olmamasına rağmen istedikleri kontrol cihazına indirebiliyor.

Kaspersky araştırmacıları son aşamada kontrol cihazına bir test saldırısı düzenlemişler. Bunun için ayrı olarak geliştirilmiş parola korumalı bir kod içeren özel bir yedek dosya hazırlanmış. Ardından cihazın sahibine bulut üzerinden bir e-posta ve SMS göndererek, kontrol cihazı yazılımının güncellenmesi gerektiğini söylemişler. Kurban da talep üzerine (bilerek tabi) zararlı yazılım içeren yedeği indirmiş. Bu sayede araştırmacılar akıllı ev kontrol cihazında süper kullanıcı haklarına sahip olarak, bağlantılı tüm sistem üzerinde değişiklik yapma imkanına kavuşmuşlar. Araştırmacılar sisteme girmeyi başardıklarını göstermek için de, kullanıcının sabah kalkmak için seçtiği alarm sesini değiştirmişler. Araştırmayı isteyen Kaspersky çalışanı ertesi sabah yüksek seviyeli bir davul sesiyle uyanmış.

Araştırmacılar bulgularını önce Fibaro ile paylaşmış ve gerekli önlemlerin alınmasında yardımcı olmuşlar. Fibaro da kullanıcılarına güncellemeleri kurmalarını ve e-postalarının resmi web sitesindeki duyurularla uyumlu olup olmadığını kontrol etmelerini tavsiye etmiş.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.