Lumos: IoT cihazı tespit etme sistemi

Kişisel güvenlik hakkında yılın en iyi çalışmalarından birinde anlatılan en yeni gizli kamera tespit etme yöntemini inceliyoruz.

2019’da seyahatleri sırasında kısa dönem kiralama kullanan kişiler arasında gerçekleştirilen bir ankette katılımcıların %11’i kiraladığı konutta gizli kamera bulduğunu söyledi. Dahası, gözetlenenlerin üçte ikisinden fazlası ahlaksız daire sahiplerinin gizli kameralar da kullanmış olabileceğinden endişe ediyordu.

Yakın zaman önce Apple AirTags’in nasıl insanları takip etmek ve araba çalmak için kullanılabileceğini yazmıştık. Kiralık konutlarda gizlice filme alma sorununda da aynı şekilde görünüşte yararlı cihazlar kötü amaçlarla kullanılıyor.

Gizlice gözetleme sorunu yakın zamanda ortadan kalkacak gibi durmuyor, aksine artarak devam edecek. Birincisi, Wi-Fi üzerinden gerçek zamanlı veri gönderen basit bir kablosuz video kamera çerez parasına satın alınabiliyor. İkincisi, modern teknoloji ucuz casusluk cihazlarının bile oldukça ufak ve iç mekanlarda gizlenmesi kolay hale geleceği kadar ilerledi.

Gizli kameraları bulmanın birkaç yolu var; en kolayı, kızılötesi ışık kaynağına sahip video kameraları tespit etmek için karanlıkta odayı telefon kamerasıyla taramak (bu ve diğer tespit yöntemleri hakkında daha fazla bilgi edinmek için buraya tıklayın). Ancak bu yöntemlerin etkinliği yeterli değil. Casusluk cihazları çoğaldıkça, bunları tespit etmek için güvenilir yöntemlere yönelik talep de artıyor.

Bu yüzden sürekli daha fazla casusluk karşıtı teknoloji üretilmeye çalışılıyor. En gelişmiş sistem, ABD’deki Carnegie Mellon Üniversitesi’nde çalışan araştırmacılar tarafından kısa bir süre önce geliştirildi. Araştırmacılar, herkesin kiraladığı odada bir akıllı telefon uygulaması kullanarak gizli IoT cihazları tespit edebilmesini sağlamanın potansiyel bir yolunu buldu.

Uygulama tabanlı casusluk tespiti

Makalenin yazarları şu senaryoyu uygulamaya karar verdi: “Test misafirlerine” kiralık bir dairenin anahtarları veriliyor. Daireye girdikten sonra akıllı telefonlarındaki özel Lumos uygulamasını açıyorlar ve yaklaşık yarım saat boyunca bekliyorlar.

Sonrasında telefonu ellerinde tutarak bütün odaların etrafında yürüyorlar, böylece tespit edilen vericilerin koordinatları belirleniyor. Bunun ardından uygulama yalnızca tespit edilen “akıllı” cihazların bir listesini göstermekle kalmıyor, aynı zamanda konumlarını da belirtiyor. IoT cihazlar arttırılmış gerçeklikle (AR) görüntüleniyor: Akıllı cihazın konum bilgisi, telefon kamerasındaki görüntünün üstüne yerleştiriliyor. Araştırmacılar uygulamanın bir demosunu da yapmış:

Güzel görünüyor, peki nasıl çalışıyor? Araştırmacılar, Airbnb veya benzer bir hizmetle daire kiraya veren tipik bir ev sahibinin çok karmaşık casusluk cihazları kurmakla uğraşmayacağını varsayıyor, bu hem maliyetli hem de pek çok durumda gereksiz bir iş. Bunun yerine yerel mağazadan ucuz ve basit bir şey almaları daha olası.

Gizlilik tehdidi yaratabilecek potansiyel cihazların kabaca listesini çıkarmak zor değil. En bariz olanı, Wi-Fi üzerinden görüntü ve ses aktaran video kameralar. Konuşmaları dinlemek üzere yapılandırılmış bir akıllı hoparlör, akıllı televizyon ya da özel bir güvenlik sistemi de kullanılabilir. Ancak bunların da Amazon Ring gibi ev tipi olması gerekiyor.

Wi-Fi bağlantısı kuran tüm cihazlar aynı frekans bandında çalıştığı için aralarında veri iletimini koordine etmeleri gerekiyor. Lumos, bu açık bilgilere dayanarak yakındaki kablosuz cihazları bulabiliyor, türlerini belirleyebiliyor (örneğin bir kamera ile akıllı ampulü ayırt edebiliyor), hatta 1,5 metre sapmayla yaklaşık konum bilgisi bile verebiliyor.

Casus cihaz tespit erme sistemi yakında kablosuz bir kamera olduğunu göstermek için akıllı telefonun kamera görüntüsüne AR görsel yardımı ekliyor. Kaynak

 

Lumos’un ayrıntıları

Birçoğunuz şimdiden, “Bu kadar laf kalabalığı yeter, bu şeyi nereden indiriyoruz?!” diye düşünüyor olabilirsiniz. Ne yazık ki şimdilik hiçbir yerden indiremiyorsunuz. Dahası, prototiplerde tüm fonksiyonların yalnızca akıllı telefon kullanarak çalışmasının imkansız olduğu kanıtlandı. Bunun nedeni, Lumos’un akıllı telefonlardaki tipik Wi-Fi becerilerinden biraz daha yüksek gereksinimleri olması. Sistemin basit bir şekilde bir erişim noktasına bağlanıp yalnızca bunun üzerinden iletişim kurması yeterli değil. Lumos’un yakınlardaki tüm cihazlardan kablosuz olarak gönderilen tüm veri paketlerini taraması gerekiyor. Fakat bu tür bir hava dalgalarını koklama yetisi tüm akıllı telefonlarda engelli.

Teorik olarak kök erişimli bir Android cihazda (yani sisteme tam erişim sunan süper kullanıcı haklarına sahip olunan bir cihazda) bu yapılabilir, ancak araştırmacılar farklı bir yol tercih etmiş. İki test sistemi kurmuşlar; birincisi Raspberry Pi mikro bilgisayar bağlı bir akıllı telefondan oluşuyor, ikincisi ise özel bir kameraya sahip bir dizüstü bilgisayar.

İlkinde Wi-Fi iletişimini Raspberry Pi, ikincisinde ise dizüstü bilgisayar dinliyor (bu tür bir fonksiyonu tam teşekküllü bir bilgisayarda uygulamak, akıllı telefonda uygulamaktan daha kolay). Gizli cihazların görsel tespiti için de sisteme göre ya akıllı telefon kamerası ya da dizüstü bilgisayara bağlanan AR kamera kullanılıyor.

Güvenmediğiniz bir ortamdaki gizli Wi-Fi cihazları telefonunuzu kullanarak nasıl bulabilirsiniz Kaynak

 

Ardından araştırmacılar davranışlarına göre cihazın türünü belirleyen teknolojiyi kullanıyorlar. Basit bir örnek: Akıllı bir ışık düğmesi sunucuya dakikada bir defa erişebilir ve kendisini başka herhangi bir şekilde göstermez; bir web kamerası ise veri akışları iletir ve bunu sürekli olarak yapar. Makalenin yazarları buna benzer elliden fazla özellik ve makine öğrenimi kullanarak tipik IoT cihazların “dijital parmak izlerini” oluşturmuş.

Böylelikle uygulamada şüpheli cihazların veritabanını tutmaya ve bunu sürekli güncellemeye gerek kalmıyor. Lumos, belirli bir model kamerayı daha önce görmemiş olsa bile veri iletirkenki karakteristik davranışlarına bakarak odanızdaki Wi-Fi kamerayı tespit edebiliyor.

Lumos demo videosundan başka bir örnek: Akıllı hoparlör tespit etme. Kaynak

 

Arttırılmış gerçeklikle IoT cihaz aramak

Çalışmanın en göze çarpan kısmı, bilgilerin akıllı telefon kamerasındaki görüntünün üstüne yerleştirilmesi. Lumos, kameradan telefon ekranına gönderilen gerçek ortam görüntüsünün üstüne sanal nesneler yerleştirmek için AR teknolojisi kullanıyor.

Konumu tespit edilen cihazların yaklaşık koordinatları, standart ARKit kitaplığı kullanılarak Apple akıllı telefonun kamerasından gelen görüntünün üstüne yerleştiriliyor. Bu kitaplık, odanın üç boyutlu modelini oluşturmak için telefonun çeşitli sensörlerini kullanıyor. Bu sırada gizli cihazların konumları da belirleniyor.

Araştırmacılar bunun için Wi-Fi modülünün başka bir özelliğini kullanmış: Hem en yakın erişim noktasından hem de diğer kablosuz modüllerden gelen sinyal gücünü sürekli olarak ölçme. Böylelikle uygulama, daire içinde dolaşırken farklı noktalardaki sinyal seviyelerini ölçerek ve çok da karmaşık olmayan bazı hesaplamalar yaparak gizli cihazların oda içindeki konumunu belirleyebiliyor.

Sinyal gücünü baz alan iç mekan Wi-Fi cihazı arama haritası. Kaynak

 

Uygulama zorlukları

Bunun bilimsel bir araştırma olduğunun, ticari bir ürün geliştirilmediğinin altını bir kez daha çizelim. Makalenin yazarları bize bir şey satmaya çalışmıyor. Dolayısıyla yalnızca bir kısmını gösterip boşlukları doldurmayı okuyucuya bırakmak yerine tam teşekküllü bir casus cihaz tespit sistemi oluşturmaları daha da ilgi çekici.

Sonuçlar da oldukça cesaret verici:

  • Cihaz türünü belirleme doğruluğu %95-98 arasında. Hata payı çok küçük.
  • IoT cihazların konumu 1,5 metrelik hata payıyla belirleniyor, bu da bir gizli kamerayı görsel olarak bulmak için alanı yeterince daraltıyor.
  • Yakındaki IoT cihazları tespit etmek 30 dakika sürüyor. Bunun 27 dakikası boyunca akıllı telefon yalnızca etraftaki cihazların gönderdiği veri paketlerini toplamak için olduğu yerde duruyor. Geri kalan üç dakikada ise tespit edilen vericilerin koordinatlarını belirlemek için kullanıcının odanın etrafında yürümesi gerekiyor.

Tüm bunlar, sistemin gerçekten de kiralanan bir konuttaki hoş olmayan sürprizleri ortaya çıkarmaya yardımcı olabileceğini gösteriyor. Ancak bazı kısıtlamalar var. Sıradan bir akıllı telefonun Wi-Fi trafiğinin tamamını tarayamayacağından bahsetmiştik. Üreticilerin yakın zamanda bu konuyla ilgili bir şey yapması pek olası görünmüyor.

Dahası, artık her odada birçok Wi-Fi cihaz bulunuyor ve radyo dalgaları özellikle güçlendirilmiş beton olmayan duvarlardan geçme konusunda çok başarılı. Bu da yanlışlıkla komşudaki, hatta binanın dış cephesindeki bir kamerayı bulabileceğiniz ve ev sahibini haksız yere casuslukla suçlayabileceğiniz anlamına geliyor.

Bir de elbette ev sahibi/siber suçlu görüntüleri eski usül bir flash sürücüye kaydediyorsa ya da kablolu bağlantı kullanıyorsa tüm bu gizli kamera tespit etme çabaları boşa çıkabilir.

Yani yakın gelecekte Lumos’un ticari olarak piyasaya sürüldüğünü görmemiz pek olası değil. Geliştirmeyi üstlenecek bir ticari şirket, sayısız sorunla ve hem kullanıcılardan hem de mülk sahiplerinden gelen birçok şikayetle (“evde kamera vardı ama tespit edilmedi” veya “evde kamera yoktu ama uygulama var dedi” gibi) karşı karşıya kalacaktır.

Geliştirilse bile teknoloji meraklılarına yönelik bir oyuncaktan öteye geçmeyebilir. Kullanabilmek için özel olarak modifiye edilmiş bir akıllı telefon satın almak bile gerekebilir. Öte yandan, pek de ideal olmayan bu senaryo gerçekleşirse sistem ücretsiz olacak (özel akıllı telefonun fiyatını hesaba katmıyoruz); makalenin yazarları prototipin kaynak kodunu ücretsiz olarak erişilebilir hale getireceklerine söz verdiler.

İpuçları