Akıllı kilit kullanmamanız için üç neden

Akıllı kilitler gerçekten kullanışlı olabilir. Piyasada aralarından seçim yapabileceğiniz birçok çeşit ve sayıda akıllı kilit mevcut. Bazıları, sahibinin (daha doğrusu sahibinin akıllı telefonunun) yaklaştığını algılayabilir ve kapıyı anahtar olmadan açılabilir. Diğerleri uzaktan kontrol edilir ve arkadaşlarınıza veya akrabalarınıza siz o an evde olmasanız bile kapıyı açabilmenize olanak tanır. Bazı akıllı kilitler de video gözetimi sağlar: Birisi kapı zilini çaldığında akıllı telefonunuzda kim olduğunu hemen görebilirsiniz.

Ancak akıllı cihazlar, geleneksel, çevrimdışı kilit kullanıcılarının hiçbir zaman endişelenmek zorunda kalmayacağı bazı riskler taşır. Bu riskler dikkatli bir şekilde incelendiğinde, eski yöntemi kullanmanın daha iyi bir seçenek olabileceğine işaret eden üç neden karşımıza çıkar. Bu nedenleri daha yakından inceleyecek olursak…

Birinci neden: Akıllı kilitler fiziksel olarak normal kilitlerden daha dayanıksızdır

Buradaki sorun, akıllı kilitlerin iki farklı kavramı bir araya getirmesidir. Teoride bu kilitler güvenilir bir akıllı bileşene sahip olmanın yanı sıra tornavida veya çakı gibi araçlarla açılamamaları için fiziksel kurcalamaya karşı dayanıklı olmalıdır. Bu iki kavramı birleştirmek her zaman işe yaramaz: sonuç genellikle ya dayanıksız bir akıllı kilit ya da savunmasız bir yazılımı olan ağır bir demir kilittir.

Beklenilen performansı gösteremeyen işe yaramaz kilit örneklerinden başka bir gönderide zaten bahsetmiştik. Bu ürünler, parmak izi tarayıcılı şık görünümlü bir asma kilit içerirler — asma kilidin altında ise herkesin erişebileceği bir açma mekanizması (bir kaldıraç) bulunur. Ayrıca bisikletler için akıllı bir kilit bulunur — ancak bu kilit de tornavidayla kolayca sökülebilir.

Parmak izi tarayıcısının bulunduğu üst panel bir bıçakla kolayca çıkarılabilir. Açma mekanizmasına panelin altından erişilebilir. Kaynak.

İkinci neden: “akıllı” bileşenle ilgili sorunlar

“Akıllı” bileşeni yeterince güvenli hale getirmek de kolay değildir. Bu tür cihazları geliştirenlerinin genellikle korumaya değil işlevselliğe öncelik verdiklerini unutmamak gerekir. Bu konudaki en yeni örnek, evlerden ziyade ofisler için tasarlanmış bir cihaz olan Akuvox E11’dir. Akuvox E11, dahili kameradan video akışı almasını sağlayan bir terminal ve kapıyı açmak için bir düğme içeren akıllı bir interkomdur. Ve, akıllı bir cihaz olduğu için akıllı telefon uygulaması aracılığıyla kontrol edilebilir.

Akuvox E11 kilidinin birden çok güvenlik açığı vardır. Bu da yetkisi olmayan kişilerin, söz konusu kilidin kullanıldığı yerlere herhangi bir sorun yaşamadan erişilebilmesine neden olur. Kaynak.

Yazılım, herkesin kameradaki görüntüye ve sese her an erişebileceği şekilde uygulanmıştır. Ve, eğer web arayüzünü internetten ayırmak aklınıza gelmediyse, herkes kilidi kontrol edebilecek ve kapıyı açabilecektir. Bu, güvenli olmayan yazılım geliştirme konusunda tipik bir örnektir: video istekleri yetkilendirme kontrollerini gözden kaçırır; web arayüzünün bir kısmına şifre olmadan erişilebilir; ve tüm cihazlar için aynı olan sabit bir anahtarla şifreleme yapıldığı için şifre kolayca kırılabilir.

Daha fazla örnek ister misiniz? İşte daha fazlası… Bu makale, yakınınızdaki davetsiz misafirlerin Wi-Fi ağ şifrenizi ele geçirmesine izin veren bir kilit hakkında. Burada, akıllı kilidin sağladığı veri aktarımı koruması oldukça zayıftır: Bir saldırgan radyo kanalını dinleyebilir ve kontrolü ele geçirebilir. Ve burada, güvenliği düşük başka bir web arayüzü örneği bulabilirsiniz.

Üçüncü neden: yazılımın düzenli olarak güncellenmesi gerekir

Tipik bir akıllı telefon, piyasaya sürüldükten sonra iki veya üç yıl boyunca güncelleme alır. Düşük bütçeli IoT cihazları söz konusu olduğunda destek daha erken kesilebilir. Bir akıllı cihazı internet üzerinden güncellemek oldukça basittir. Ancak, cihazlar için desteğin sürdürülmesi, satıcı açısından kaynak ve para gerektirir.

Satıcının bulut altyapısını devre dışı bırakması ve cihazın çalışmayı durdurması gibi durumlarda bu başlı başına bir sorun teşkil edebilir. Ancak böyle bir durumda akıllı kilit işlevi korunsa bile, piyasaya sürüldüğü sırada satıcı tarafından bilinmeyen güvenlik açıkları ortaya çıkabilir.

Örneğin, 2022’de araştırmacılar, birçok şirketin çeşitli cihazların (akıllı kilitler dahil) kilidini açarken temassız kimlik doğrulama için standart olarak benimsediği Bluetooth Düşük Enerji protokolünde bir güvenlik açığı keşfetti. Bu güvenlik açığı, saldırganların akıllı kilit sahibinin yakınında bulunarak ve özel (ancak nispeten ucuz) ekipman kullanarak gerçekleştirdiği röle saldırılarına (deyim yerindeyse) kapı açmaktadır. Bu donanımla donanmış olan saldırgan, kurbanın akıllı telefonu ile akıllı kilit arasında sinyaller iletebilir. Bu işlem, akıllı kilidi, sahibinin akıllı telefonunun yakında olduğunu (yani gerçekte beş kilometre uzakta bir alışveriş merkezinde olmadığını) düşünmesi için kandırır ve bunun üzerine cihaz kapının kilidini açar.

Bluetooth Düşük Enerji protokolündeki bir hatayı kullanan bir röle saldırısına karşı savunmasız kalan Kwikset kilidi. Kaynak.

Akıllı kilit yazılımı oldukça karmaşık olduğundan, ciddi güvenlik açıkları içerme olasılığı hiçbir zaman sıfır değildir. Bir tane bile güvenlik açığı keşfedilirse, satıcı derhal bir güncelleme yayımlamalı ve bunu satılan tüm cihazlara göndermelidir. Peki ya model piyasadan kalktıysa veya artık desteklenmiyorsa?

Akıllı telefonlar ile her iki üç yılda bir yeni bir cihaz alarak bu sorunu çözüyoruz. Peki, internete bağlı bir kapı kilidini ne sıklıkla değiştirmeyi planlıyorsunuz? Genellikle bu tür cihazların birkaç yıl değil (satıcı desteği çekene veya piyasadan çekilene kadar) onlarca yıl dayanmasını bekleriz.

Peki ne yapmalı?

Sadece akıllı olanların değil, tüm kilitlerin kırılabileceği anlaşılmalıdır. Bununla birlikte, standart bir kilit yerine bir akıllı cihaz kurmaya karar verirken dikkatlice düşünün: Kapıyı akıllı telefonunuzdan açabilmeye gerçekten ihtiyacınız var mı? Bu soruya evet yanıtını veriyorsanız, en azından aşağıdaki noktaları göz önünde bulundurun:

• Satın almadan önce aklınızdaki cihaz hakkında bilgi edinin.
• Yalnızca akıllı kilidin rahatlığı ve özellikleri hakkındaki incelemeleri değil, aynı zamanda olası sorunlar ve risklerle ilgili raporları da okuyun.
• Daha yeni bir cihaz tercih edin: böylece, satıcının desteğini biraz daha uzun süre sürdürmesi muhtemel olacaktır.
• Bir cihaz satın aldıktan sonra, ağ iletişimi özelliklerini inceleyin ve bunlara ihtiyacınız olup olmadığını dikkatlice düşünün; tehlikeli olabilecek her şeyi devre dışı bırakmak mantıklı olacaktır.
• Özellikle akıllı kilitle aynı ağdalarsa, bilgisayarlarınızı korumayı unutmayın. Bilgisayarınıza kötü amaçlı bir yazılım bulaşması halinde evinizin kapılarının da ardına kadar açılması başınıza iki kat dert açacaktır.