akıllı ev
Günümüzün akıllı evleri, 90’ların sonlarında çekilen bilim kurgu filmlerindeki gibi uzakta değil, artık büyük şehirlerde yaşayan hemen hemen herkes için bir gerçek. Akıllı elektrik prizleri, hoparlör veya TV bulunmayan modern bir daire bulmak zor. Yeni inşaatlarda, bazen baştan sona akıllı olarak inşa edilmiş evler görebilirsiniz, bu da akıllı konut komplekslerinin ortaya çıkmasına neden olur. Sakinler, tek bir uygulama üzerinden sadece dairelerindeki cihazları değil; interkomlar, kameralar, kapılar, sayaçlar ve yangın alarmları gibi dış sistemleri de yönetebilirler.
Peki, böyle bir uygulamada güvenlik açığı varsa ne olur? Global Araştırma ve Analiz Ekibi (GReAT) uzmanlarımız Rubetek Home uygulamasında bir güvenlik açığı keşfettiler ve akıllı ev sahipleri için potansiyel güvenlik risklerini araştırdılar. Neyse ki, bu riskler gerçekleşmedi.
Bu güvenlik açığı neyle ilgiliydi?
Bu güvenlik açığı, uygulamanın günlük kaydı işlemi sırasında hassas verileri göndermesinden kaynaklanıyordu. Geliştiriciler, Telegram Bot API’sini kullanarak analitik verileri topladı ve kullanıcıların hata ayıklama bilgi dosyalarını Telegram botu aracılığıyla özel bir geliştirme ekibi sohbetine gönderdi.
Sorun, bu dosyaların sistem bilgilerinin yanı sıra kullanıcıların kişisel verilerini ve daha da önemlisi, kullanıcının hesabına erişimi yetkilendirmek için gerekli olan yenileme token’larını içermesiydi. Potansiyel saldırganlar, aynı Telegram botunu kullanarak tüm bu dosyaları kendilerine iletmiş olabilirler. Bunu yapmak için, uygulama kodundan Telegram token’ını ve sohbet kimliğini elde edebilir ve ardından dosyaları içeren mesajların sıralı numaralarını tek tek inceleyebilirler.
Son zamanlarda, Telegram üzerinden olayların kaydedilmesi giderek popüler hale geldi. Mesajlaşma uygulamasında önemli bildirimleri almak kolay ve hızlıdır. Ancak, bu yaklaşım dikkat gerektirir; uygulama günlüklerinde hassas verileri iletmemenizi ve ayrıca Telegram ayarlarından gruptaki içeriğin kopyalanmasını ve iletilmesini yasaklamanızı veya Telegram botu aracılığıyla mesaj gönderirken protect_content parametresini kullanmanızı öneririz.
Önemli not: Güvenlik açığını tespit eder etmez Rubetek ile iletişime geçtik. Bu yazı yayınlandığında sorun giderilmişti.
Potansiyel saldırganlar, kullanıcının tüm uygulamalarının geliştiriciye gönderdiği verilere erişim sağlayabilirdi. Bu verilerin listesi akıl almaz boyutta:
- Tam ad, e-posta adresi veya cep telefonu numarası ve uygulamaya bağlı mülkün adresi
- Akıllı ev sistemine bağlı cihazların listesi
- Akıllı cihazlar tarafından kaydedilen olaylar hakkında bilgiler, örneğin evin güvenlik sisteminin devrede olup olmadığı veya kameralar tarafından şüpheli sesler algılanıp algılanmadığı
- Yerel ev ağındaki cihazlarla ilgili sistem bilgileri: MAC adresi, IP adresi ve cihaz türü
- WebRTC protokolü üzerinden kameralara bağlanmak için IP adresleri
- Akıllı kameralar ve interkomlardan anlık görüntüler
- Kullanıcının yardım formu ile sohbetleri
- Kullanıcının hesabıyla yeni bir oturum başlatmaya izin veren token’lar
Android ve iOS uygulamalarının kullanıcıları risk altındaydı.
Kötü niyetli kişiler akıllı evinizin kontrolünü ele geçirirse ne olur?
Bu geniş veri yelpazesi, kapsamlı bir gözetim yapılmasına olanak sağlayarak, kimin nerede yaşadığını ve hangi günlerde evde olmadığını bilmeyi mümkün kılabilirdi. Suçlular, bir kişinin programını öğrenip, boş saatlerde uygulamayı kullanarak kameraları ve diğer güvenlik sistemlerini uzaktan devre dışı bırakarak herhangi bir daireye girebilirdi.
Böylesine bariz bir hırsızlık kesinlikle fark edilirdi, ancak daha kurnazca başka olasılıklar da var. Örneğin, saldırganlar bu güvenlik açığını kullanarak akıllı ampullerin renklerini ve zemin sıcaklıklarını uzaktan değiştirebilir, ışıkları sonsuza kadar açıp kapatabilir ve ev sahiplerine önemli maddi kayıplara neden olabilirdi.
Daha da rahatsız edici olan ise, saldırganın sadece bir daireyi veya evi değil, tüm kompleks içindeki binlerce sakini hedef alabilme olasılığıydı. Elbette, erişim kontrol sistemlerinin aynı anda devre dışı bırakılması bina yönetimi tarafından fark edilecekti, ancak neler olduğunu ne kadar çabuk anlayacaklardı ve bu sırada sakinler ne kadar zarar görebilirdi?
Akıllı evinizi nasıl güvence altına alabilirsiniz?
Bahsettiğimiz güvenlik açıklarının diğer akıllı ev uygulamalarında da yer alabileceğini unutmayın. Milyonlarca müşteriden biri olarak, bir uygulamanın güvenliğinin ihlal edilip edilmediğini bilmenin neredeyse hiçbir yolu yoktur. Bu nedenle, misafir listenizde yeni kişiler, kapıların izinsiz açılması ve kapatılması gibi en ufak bir şüpheli hareket fark ederseniz, mümkün olan en kısa sürede uygulama yöneticisi ve satıcıyla iletişime geçmenizi öneririz.
Daha yaygın bir senaryoda, örneğin kendi evinizde ağ yöneticisi olmadan akıllı cihazlar kullanıyorsanız, aşağıdaki kurallara uymanızı öneririz:
- Varsayılan parolayı daha güçlü bir parola ile değiştirerek, WPS’i devre dışı bırakarak ve WPA2 şifrelemesini etkinleştirerek Wi-Fi yönlendiricinizi güvenli hale getirin.
- Akıllı ev cihazlarınız için özel bir Wi-Fi ağı oluşturun ve bunun için farklı bir parola belirleyin. Modern yönlendiriciler misafir ağlarını destekler, bu nedenle örneğin akıllı bir şarj yuvası hacklenirse, suçlular bilgisayarlarınıza veya akıllı telefonlarınıza erişemez.
- Kaspersky Premium uygulamasını kullanarak ağınızda yetkisiz cihazlar olup olmadığını düzenli olarak kontrol edin. Her şey yolundaysa, Akıllı Ev Monitörü yalnızca cihazlarınızla ilgili bilgileri gösterir.
- Her cihaz için güçlü parolalar belirleyin. Bunları ezberlemenize gerek yok: Kaspersky Password Manager bunu halledebilir.
- Tüm akıllı cihazlarınızın (yönlendiriciniz dahil) donanım yazılımını düzenli olarak güncelleyin.
Hacklenmiş bir akıllı evin diğer potansiyel risklerini ve eşyalarınızı korumanın yollarını keşfetmek için aşağıdaki bağlantıları inceleyebilirsiniz:
İpuçları