{"id":12077,"date":"2024-03-06T11:05:40","date_gmt":"2024-03-06T08:05:40","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=12077"},"modified":"2024-07-01T16:31:50","modified_gmt":"2024-07-01T13:31:50","slug":"robot-toy-security-issue","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/robot-toy-security-issue\/12077\/","title":{"rendered":"Bir oyuncak robotun g\u00f6zetlemeye izin veren g\u00fcvenlik a\u00e7\u0131klar\u0131. Evet olduk\u00e7a ciddiyiz."},"content":{"rendered":"

Kaspersky uzmanlar\u0131 ge\u00e7ti\u011fimiz g\u00fcnlerde pop\u00fcler bir oyuncak robot modelinin g\u00fcvenli\u011fini inceledi<\/a> ve k\u00f6t\u00fc niyetli ki\u015filerin bu t\u00fcr bir robotla g\u00f6r\u00fcnt\u00fcl\u00fc arama yapmas\u0131na, ebeveyn hesab\u0131n\u0131 ele ge\u00e7irmesine ve hatta potansiyel olarak de\u011fi\u015ftirilmi\u015f \u00fcr\u00fcn yaz\u0131l\u0131m\u0131 y\u00fcklemesine olanak tan\u0131yan \u00f6nemli sorunlar buldu. Ayr\u0131nt\u0131lar i\u00e7in okumaya devam edin.<\/p>\n

Bir oyuncak robot neler yapabilir?<\/h2>\n

\u00dczerinde \u00e7al\u0131\u015ft\u0131\u011f\u0131m\u0131z oyuncak robot modeli, bir ak\u0131ll\u0131 telefonu\/tableti ve hareket etmesini sa\u011flayan tekerlekli bir ak\u0131ll\u0131 hoparl\u00f6r\u00fc bir araya getiren bir t\u00fcr melezdir. Robotun uzuvlar\u0131 yok, bu nedenle \u00e7evresiyle fiziksel olarak etkile\u015fime ge\u00e7mek i\u00e7in tek se\u00e7ene\u011fi evin i\u00e7inde yuvarlanmak.<\/p>\n

Robotun merkezinde bir kontrol kullan\u0131c\u0131 aray\u00fcz\u00fc, \u00e7ocuklar i\u00e7in etkile\u015fimli \u00f6\u011frenme uygulamalar\u0131 ve canl\u0131, ayr\u0131nt\u0131l\u0131 animasyonlu \u00e7izgi film benzeri bir y\u00fcz g\u00f6r\u00fcnt\u00fcleyebilen b\u00fcy\u00fck bir dokunmatik ekran yer al\u0131yor. Y\u00fcz ifadeleri ba\u011flama g\u00f6re de\u011fi\u015fiyor: geli\u015ftiriciler robotun ki\u015fili\u011fi konusunda harika bir i\u015f \u00e7\u0131karm\u0131\u015flar.<\/p>\n

Robot sesli komutlarla kumanda edilebiliyor, ancak baz\u0131 \u00f6zellikleri bunu desteklemiyor. Bu nedenle bazen robotu yakalaman\u0131z ve yerle\u015fik ekran\u0131n\u0131 yani y\u00fcz\u00fcn\u00fc<\/span> parma\u011f\u0131n\u0131zla d\u00fcrtmeniz gerekiyor.<\/p>\n

Yerle\u015fik bir mikrofon ve olduk\u00e7a y\u00fcksek sesli bir hoparl\u00f6re ek olarak, robot ekran\u0131n hemen \u00fczerine yerle\u015ftirilmi\u015f geni\u015f a\u00e7\u0131l\u0131 bir kameras\u0131 var. Sat\u0131c\u0131 taraf\u0131ndan lanse edilen \u00f6nemli bir \u00f6zelli\u011fi de ebeveynlerin \u00e7ocuklar\u0131n\u0131 do\u011frudan robot arac\u0131l\u0131\u011f\u0131yla g\u00f6r\u00fcnt\u00fcl\u00fc arayabilmeleri.<\/p>\n

\u00d6n y\u00fcz\u00fcnde, ekran ile tekerlekler aras\u0131nda, robotun \u00e7arp\u0131\u015fmalardan ka\u00e7\u0131nmas\u0131na yard\u0131mc\u0131 olan ekstra bir optik nesne tan\u0131ma sens\u00f6r\u00fc yer al\u0131yor. Engel tan\u0131ma \u00f6zelli\u011fi ana kameradan tamamen ba\u011f\u0131ms\u0131z oldu\u011fundan, geli\u015ftiriciler olduk\u00e7a kullan\u0131\u015fl\u0131 bir \u015fekilde ana kameray\u0131 tamamen kapatan fiziksel bir deklan\u015f\u00f6r eklemi\u015fler.<\/p>\n

Yani, birinin sizi ve\/veya \u00e7ocu\u011funuzu kameradan g\u00f6zetlemesinden endi\u015fe ederseniz deklan\u015f\u00f6r\u00fc kapatabilirsiniz ancak ne yaz\u0131k ki biraz sonra \u00f6\u011frenece\u011fimiz gibi bu tam olarak b\u00f6yle de\u011fil. Birinin sizi dahili mikrofondan dinleyebilece\u011finden endi\u015feleniyorsan\u0131z, robotu kapatabilirsiniz (ve yeniden ba\u015flatmak i\u00e7in ge\u00e7en s\u00fcreye bak\u0131l\u0131rsa, bu ger\u00e7ekten iyi bir kapatma \u2013 uyku modu de\u011fil).<\/p>\n

Beklenece\u011fi gibi, oyunca\u011f\u0131 kontrol etmek ve izlemek i\u00e7in ebeveynlerin kullanabilece\u011fi bir uygulama var. \u015eimdiye kadar tahmin etmi\u015f olman\u0131z gerekti\u011fi gibi, tamamen internete ba\u011fl\u0131 ve b\u00fcnyesinde bir dizi bulut hizmeti bar\u0131nd\u0131r\u0131yor. Teknik ayr\u0131nt\u0131larla ilgileniyorsan\u0131z, bunlar\u0131 Securelist\u2019te yay\u0131nlad\u0131\u011f\u0131m\u0131z g\u00fcvenlik ara\u015ft\u0131rmas\u0131n\u0131n tam s\u00fcr\u00fcm\u00fcnde<\/a> bulabilirsiniz.<\/p>\n

Her zamanki gibi, sistem ne kadar karma\u015f\u0131ksa, birilerinin k\u00f6t\u00fc bir \u015fey yapmak i\u00e7in istismar etmeye \u00e7al\u0131\u015fabilece\u011fi \u00f6nemli g\u00fcvenlik a\u00e7\u0131klar\u0131na sahip olma olas\u0131l\u0131\u011f\u0131 da o kadar y\u00fcksektir. Ve i\u015fte bu yaz\u0131n\u0131n kilit noktas\u0131na geldik: robotu yak\u0131ndan inceledikten sonra birka\u00e7 ciddi g\u00fcvenlik a\u00e7\u0131\u011f\u0131 bulduk.<\/p>\n

Yetkisiz g\u00f6r\u00fcnt\u00fcl\u00fc arama<\/h2>\n

Ara\u015ft\u0131rmam\u0131z s\u0131ras\u0131nda buldu\u011fumuz ilk \u015fey, k\u00f6t\u00fc niyetli akt\u00f6rlerin bu t\u00fcrden herhangi bir robotla g\u00f6r\u00fcnt\u00fcl\u00fc g\u00f6r\u00fc\u015fme yapabilece\u011fiydi. Sat\u0131c\u0131n\u0131n sunucusu, hem robot kimli\u011fine hem de ebeveyn kimli\u011fine sahip olan herkese video oturumu belirte\u00e7leri verdi. Robotun kimli\u011fini deneme yan\u0131lma y\u00f6ntemiyle k\u0131rmak zor de\u011fildi: her oyunca\u011f\u0131n g\u00f6vdesine bas\u0131lm\u0131\u015f seri numaras\u0131na benzer dokuz karakterli bir kimli\u011fi vard\u0131 ve ilk iki karakter her \u00fcnitede ayn\u0131yd\u0131. Ve ebeveynin kimli\u011fi, herhangi bir kimlik do\u011frulamas\u0131 olmadan \u00fcreticinin sunucusuna robot kimli\u011fi ile bir istek g\u00f6nderilerek elde edilebiliyordu.<\/p>\n

B\u00f6ylece, rastgele bir \u00e7ocu\u011fu aramak isteyen k\u00f6t\u00fc niyetli bir akt\u00f6r ya belirli bir robotun kimli\u011fini tahmin etmeye \u00e7al\u0131\u015fabilir ya da rastgele kimlikleri arayarak bir sohbet ruleti oyunu oynayabilir.<\/p>\n

Ebeveyn hesab\u0131n\u0131n tamamen ele ge\u00e7irilmesi<\/h2>\n

Burada bitmiyor. Kand\u0131rmaya a\u00e7\u0131k bu sistem, robot kimli\u011fi olan herkesin sunucudan \u00e7ok say\u0131da ki\u015fisel bilgi almas\u0131na izin veriyor: IP adresi, ikamet edilen \u00fclke, \u00e7ocu\u011fun ad\u0131, cinsiyeti, ya\u015f\u0131. Ayr\u0131ca ebeveyn hesab\u0131n\u0131n ayr\u0131nt\u0131lar\u0131: ebeveynin e-posta adresi, telefon numaras\u0131 ve ebeveyn uygulamas\u0131n\u0131 robota ba\u011flayan kod.<\/p>\n

Bu da \u00e7ok daha tehlikeli bir sald\u0131r\u0131ya kap\u0131 a\u00e7\u0131yordu: Ebeveyn hesaplar\u0131n\u0131n tamamen ele ge\u00e7irilmesi. K\u00f6t\u00fc niyetli bir akt\u00f6r\u00fcn yaln\u0131zca birka\u00e7 basit ad\u0131m atmas\u0131 yeterli:<\/p>\n