Kâse delik: akıllı mama kabı sızıntı yapıyor

Tüm hayvan sahipleri evcil hayvanlarını sever. Peki evcil hayvanlar her şeyden çok neyi sever? TLC ve mama elbette. Ya da tam tersi: önce yemek, sonra karın masajı.

Günümüzün akıllı mama kapları, siz yokken evcil hayvanınızın aç kalmasını veya sıkılmasını önlemek için tasarlanmıştır. Peki siber güvenlik açısından ne durumdalar? Pek de iyi değil…

Tüylü dostlarımız için akıllı mama kabı

Akıllı mama kapları, tüm gün evde kalamayan evcil hayvan sahipleri için popüler bir seçim haline geliyor. Bir kediye veya köpeğe, onları beslemek ve onlarla yürümek/oynamak için evde kalmak yerine neden her sabah evden çıkmanız gerektiğini açıklamak zor olsa da akıllı bir mama kabıyla en azından aç kalmazlar.

İlk çıkan akıllı mama kapları, yalnızca yiyecek porsiyonlarını ölçen çevrimdışı zamanlayıcı kontrollü cihazlardı. Ancak akıllı ev sistemleri yaygınlaştıkça mama kapları da daha karmaşık hale geldi ve ekstra özellikler kazandı. Artık yalnızca kuracağınız mama dağıtım programını uygulamakla kalmıyor, aynı zamanda dahili mikrofon, hoparlör ve kamerayı kullanarak evcil hayvanınızı uzaktan izleyebilmenizi ve hatta onunla iletişim kurabilmenizi mümkün kılıyorlar. Birçoğu, Amazon Alexa gibi harici cihazlar aracılığıyla ses kontrolünü de destekliyor. Bunun için evinizdeki Wi-Fi ağına bağlanıyor ve telefonunuzdaki bir uygulama aracılığıyla yönetiliyorlar.

Tahmin edebileceğiniz üzere, bir akıllı ev cihazının kamerası, mikrofonu ve internet erişimi varsa bilgisayar korsanlarının hemen ilgisini çeker. IP kamera güvenliği (veya güvenlik eksikliği) ile ilgili olarak, şimdiye dek çok fazla dijital içerik ürettik: bilgisayar korsanları , bebek bakıcılarını taciz etmek ve çocukları korkutmak için çevrimiçi bebek monitörlerini ele geçirebilir; robot elektrikli süpürgeler, sahiplerinin müstehcen fotoğraflarını veya evlerinin planlarını sızdırabilir; ev ağlarına yapılan saldırılarda akıllı ampullerin(!) kullanıldığı bile olmuştur.

Şimdi sıra akıllı mama kaplarında.

Sızdıran kâse

Uzmanlarımız, popüler Dogness akıllı mama kabı üzerinde çalıştı ve bir saldırganın cihaza kurulan besleme programını değiştirmesine olanak tanıyan — evcil hayvanınızın sağlığını tehlikeye atabilecek ve hatta mama kabını bir casusluk cihazına dönüştürebilecek — birçok güvenlik açığı buldu. Tespit edilen daha da sinir bozucu güvenlik sorunlarından bazıları, mama kaplarının sabit kodlanmış kimlik bilgilerinin kullanması, bulutla açık metin olarak iletişim kurması ve güvenli olmayan bir cihaz yazılımı güncelleme süreciydi. Bu güvenlik açıkları, akıllı mama kabına yetkisiz erişim elde etmek ve bu cihazı ev ağındaki diğer cihazlara saldırmak için bir geçiş noktası yapmak amacıyla kullanılabilir. Araştırma metodolojisi hakkında ayrıntılar için Securelist konusundaki kapsamlı raporumuza bakabilirsiniz. Yine de şimdilik, hangi güvenlik açıklarının bulunduğuna ve bunların doğurduğu risklere kısaca değineceğiz.

Sorunun kökü

Dogness akıllı mama kabının ana güvenlik açığı, varsayılan bağlantı noktası üzerinden uzaktan kök erişimine izin veren Telnet sunucusudur. Aynı zamanda, süper kullanıcı parolası cihaz yazılımına sabit biçimde kodlanmıştır ve değiştirilemez. Bu, cihazın sabit yazılımını çözen bir saldırganın parolayı kolayca kurtarabileceği ve cihaza — hatta aynı model herhangi bir cihaza — tam erişim elde edebileceği anlamına gelir. Çünkü aynı model tüm cihazlar aynı kök parolaya sahiptir. Tek yapmaları gereken, aynı model mama kabı satın almak ve üzerinde biraz uğraşmaktır.

Siber saldırganlar, Telnet üzerinden uzaktan oturum açarak (bunun için bilgisayar korsanının ev ağınıza uzaktan erişim sağlaması gerekir) kök parola erişimiyle cihazda herhangi bir kodu çalıştırabilir, ayarları değiştirebilir ve mama kabının kamerasından buluta aktarılan video görüntüleri dahil hassas verileri çalabilir. Böylece, mama kabı, geniş açılı kamerası ve iyi bir mikrofonu olması halinde kolayca iyi bir gözetleme cihazına dönüştürülebilir.

Şifreleyen var mı?

Kök parolanın hem cihaz yazılımına gömülü hem de tüm cihazlar için ortak olmasına ek olarak, kısmen daha az ciddi olsa da, bir güvenlik açığı daha keşfettik: mama kabı, bulutla herhangi bir şifreleme olmadan iletişim kurar. Kimlik doğrulama verileri de aynı şekilde şifrelenmemiş biçimde iletilir. Bu, kötü niyetli birinin, cihaz yazılımından kök parolayı kazımakla uğraşmasına bile gerek kalmayacağı anlamına gelir. Mama kabı ile bulut arasındaki trafiği kesmek, cihaza erişim sağlamak ve ardından saldırmak yeterlidir. Akabinde de erişim elde edilen bu cihaz üzerinden aynı ağdaki diğer cihazlar, yani tüm evin altyapısını riske girer.

Alexa, havla!

Ancak deliklerine rağmen kâse hala sürprizlerle dolu. Dogness mama kabı, ses kontrolü için Amazon Alexa’ya bağlanabilir. Kullanışlı, değil mi? Alexa’ya sadece “Besle!” komutu vermeniz yeterlidir. Telefonunuzu çıkarmanıza bile gerek yoktur.

Bir kez daha, tahmin edebileceğiniz gibi, cihaz geliştiricilerin bu tür gevşek güvenlik uygulamaları bazı ciddi sonuçlara yol açar. Cihaz, MQTT (Message Queuing Telemetry Transport) aracılığıyla Alexa’dan komutlar alır ve oturum açma kimlik bilgileri, yürütülebilir dosyaya açık metin olarak yeniden yazılır. Bu, yine piyasadaki tüm cihazlar için durumun aynı olduğu anlamına gelir. Yani, ses kontrolü için mama kabınızı Alexa’ya bağladığınızda, cihaz artık sizin mama kabınız olmaktan çıkar.

Bir bilgisayar korsanı, MQTT sunucusuna bağlanarak sunucuya bağlı tüm benzer cihazların, yani sahipleri ses kontrolünü kullanmaya karar veren tüm mama kaplarının kimlik tanımlama bilgilerini hızlı bir şekilde toplayabilir. Akabinde siber suçlu, MQTT sunucusundan ses kontrolü ile mevcut komutlardan herhangi birini, bilinen bir kimlik tanımlayıcı aracılığıyla Alexa’ya bağlı herhangi bir Dogness mama kabına gönderebilir.

Bir siber suçlu, besleme programını ve ölçülü yiyecek miktarlarını değiştirmek için komutlar gönderebilir (evcil hayvanınıza krallara layık bir ziyafet de çektirebilir, aç da bırakabilir). Diğer bir sorun ise, saldırganın özel olarak oluşturulmuş komutları mama kabına art arda gönderebilmesi ve böylece sesli komut arayüzünü çalışmaz hale getirmesidir.

Canlı yayın — hem de siz isteseniz de istemeseniz de

Çalışmamız ilerledikçe, videonun buluta yüklenmesi ve buradan telefonunuz üzerinden izlenebilmesi konusunda yeni sürprizlerle karşılaştık. Mobil uygulama, sunucuya güvenli HTTPS protokolünü kullanarak bağlansa da, mama kabının verileri buluta hiç şifreleme olmadan ve eski ve güvenliksiz HTTP aracılığıyla ilettiği ortaya çıktı. Dahası, hem cihaz kimliği hem de yükleme anahtarı (ikili dosyaya sabit kodlanmıştır) sunucuya açık metin olarak iletiliyor.

Mama kabı kamerasının sürekli olarak video kaydedecek ve sunucuya iletecek şekilde tasarlandığı göz önüne alındığında, bu güvenlik açığı, saldırganların kameranın görüş alanında olup biten her şeyi görmesine ve duymasına olanak tanır.

Çok da sağlam olmayan bir cihaz yazılımı

Son olarak, cihaz yazılımı güncelleme süreci — yani yukarıdaki sorunları çözmenin yegane yolu — da bir o kadar güvensizdir! Güncellemek için mama kabı, güvenli olmayan HTTP aracılığıyla güncelleme sunucusundan yeni cihaz yazılımını içeren bir arşiv dosyası indirir. Evet, arşiv parola korumalıdır, ancak muhtemelen zaten tahmin ettiğiniz gibi, bu parola açık metin olarak güncelleme komut dosyalarından birinde yazılmıştır. Ve üreticinin en güncel cihaz yazılımı sürümünün indirildiği URL, adresi mevcut üretici yazılımına eklenmiş olan güncelleme sunucusundan alınan yanıta göre oluşturulur.

Dijital imzalar ve cihaz yazılımını doğrulamanın başka bir yöntemi yoktur: cihaz, şifrelenmemiş bir kanal üzerinden üretici firmanın yeni cihaz yazılımının bulunduğu arşivi indirir, sıkıştırılmış dosyadan çıkarılan (ve tüm cihazlarda ortak olan) parolayı kullanarak arşivi açar ve hemen yükler. Bu, bir saldırganın cihaz yazılımını değiştirebileceği ve cihaza dilediği her şeyi yükleyerek beklenmeyen ve istenmeyen özellikler ekleyebileceği anlamına gelir.

Bu cihazları nasıl güvenli bir şekilde kullanabiliriz?

İdeal bir dünyada, tüm bu güvenlik kusurları, bilgisayar korsanları bunları henüz öğrenmeden önce, mama kabı üreticisi tarafından doğru zamanlamayla yayınlanacak bir cihaz yazılımı güncellemesiyle giderilmiş olmalıdır. Gerçek dünyada ise, tespit ettiğimiz kusurları ilgili cihaz üreticisine defalarca bildirdik, ancak Ekim 2022’den beri herhangi bir yanıt alamadık. Bu arada, bulduğumuz tüm güvenlik açıkları, satışı devam eden Dogness akıllı mama kabında hala mevcut. Bu da evcil hayvanların refahı ve sahiplerinin mahremiyeti açısından ciddi bir tehdit oluşturuyor.
Bu nedenle, akıllı ev güvenliğini ayarlamak için ayrıntılı kılavuzumuzu okumanızı öneririz. Buradaki tavsiyelerin çoğu, yukarıda açıklanan akıllı mama kabı sorunları için eşit derecede geçerlidir. Her durumda, özellikle Dogness mama kabı sahipleri için bazı basit ipuçları:

• Üreticinin cihaz yazılımı güncellemelerini düzenli olarak kontrol edin.
• Dogness mama kabınızı kontrol etmek için Amazon Alexa’yı kullanmayın.
• Ya buluta video akışını kapatın ya da mama kabını evinizde kameranın özel hiçbir görüntü yakalayamayacağı şekilde konumlandırın.
• Ev ağınızı destekleyen bir yönlendirici (router) kullanarak internete bağlanmak için güvenli bir VPN bağlantısı kurun — bu işlem, güvenli olmayan HTTP protokolü üzerinden saldırı gerçekleştirilmesi riskini büyük ölçüde azaltacaktır.
• Yönlendiricinizde VPN desteği yoksa, üzerinde bir misafir Wi-Fi ağı oluşturarak mama kabını (ve diğer güvenli olmayan akıllı ev cihazlarını) buna bağlayın. Bu, güvenli olmayan bir akıllı cihaz saldırıya uğradığında ev ağınızın diğer bölümlerine yönelik saldırıları önleyecektir.
• Evinizdeki tüm cihazlarda etkili bir güvenlik çözümü kullanın. Evinizdeki tüm cihazların kapsamlı bir şekilde korunması için [placeholder Kaspersky Kaspersky Premium aboneliğini tavsiye ederiz. Aboneliğe, Kaspersky VPN Secure Connection ve bunun yanında, yetkisiz bağlantıları tespit etmek ve reddetmek için ev ağınızdaki değişikliklerin izlenmesi de dahildir.