{"id":13396,"date":"2025-05-30T19:27:56","date_gmt":"2025-05-30T16:27:56","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=13396"},"modified":"2025-05-30T19:27:56","modified_gmt":"2025-05-30T16:27:56","slug":"vulnerability-in-smart-home-control-app","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerability-in-smart-home-control-app\/13396\/","title":{"rendered":"O kadar da ak\u0131ll\u0131 olmayan ev"},"content":{"rendered":"

G\u00fcn\u00fcm\u00fcz\u00fcn ak\u0131ll\u0131 evleri, 90\u2019lar\u0131n sonlar\u0131nda \u00e7ekilen bilim kurgu filmlerindeki<\/a> gibi uzakta de\u011fil, art\u0131k b\u00fcy\u00fck \u015fehirlerde ya\u015fayan hemen hemen herkes i\u00e7in bir ger\u00e7ek. Ak\u0131ll\u0131 elektrik prizleri, hoparl\u00f6r veya TV bulunmayan modern bir daire bulmak zor. Yeni in\u015faatlarda, bazen ba\u015ftan sona ak\u0131ll\u0131<\/em> olarak in\u015fa edilmi\u015f evler g\u00f6rebilirsiniz, bu da ak\u0131ll\u0131 konut<\/em> komplekslerinin ortaya \u00e7\u0131kmas\u0131na neden olur. Sakinler, tek bir uygulama \u00fczerinden sadece dairelerindeki cihazlar\u0131 de\u011fil; interkomlar, kameralar, kap\u0131lar, saya\u00e7lar ve yang\u0131n alarmlar\u0131 gibi d\u0131\u015f sistemleri de y\u00f6netebilirler.<\/p>\n

Peki, b\u00f6yle bir uygulamada g\u00fcvenlik a\u00e7\u0131\u011f\u0131 varsa ne olur? Global Ara\u015ft\u0131rma ve Analiz Ekibi (GReAT) uzmanlar\u0131m\u0131z Rubetek Home uygulamas\u0131nda bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 ke\u015ffettiler ve ak\u0131ll\u0131 ev sahipleri i\u00e7in potansiyel g\u00fcvenlik risklerini ara\u015ft\u0131rd\u0131lar. Neyse ki, bu riskler ger\u00e7ekle\u015fmedi.<\/p>\n

Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131 neyle ilgiliydi?<\/h2>\n

Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131, uygulaman\u0131n g\u00fcnl\u00fck kayd\u0131 i\u015flemi s\u0131ras\u0131nda hassas verileri g\u00f6ndermesinden kaynaklan\u0131yordu. Geli\u015ftiriciler, Telegram Bot API\u2019sini kullanarak analitik verileri toplad\u0131 ve kullan\u0131c\u0131lar\u0131n hata ay\u0131klama bilgi dosyalar\u0131n\u0131 Telegram botu arac\u0131l\u0131\u011f\u0131yla \u00f6zel bir geli\u015ftirme ekibi sohbetine g\u00f6nderdi.<\/p>\n

Sorun, bu dosyalar\u0131n sistem bilgilerinin yan\u0131 s\u0131ra kullan\u0131c\u0131lar\u0131n ki\u015fisel verilerini ve daha da \u00f6nemlisi, kullan\u0131c\u0131n\u0131n hesab\u0131na eri\u015fimi yetkilendirmek i\u00e7in gerekli olan yenileme token\u2019lar\u0131n\u0131 i\u00e7ermesiydi. Potansiyel sald\u0131rganlar, ayn\u0131 Telegram botunu kullanarak t\u00fcm bu dosyalar\u0131 kendilerine iletmi\u015f olabilirler. Bunu yapmak i\u00e7in, uygulama kodundan Telegram token\u2019\u0131n\u0131 ve sohbet kimli\u011fini elde edebilir ve ard\u0131ndan dosyalar\u0131 i\u00e7eren mesajlar\u0131n s\u0131ral\u0131 numaralar\u0131n\u0131 tek tek inceleyebilirler.<\/p>\n

Son zamanlarda, Telegram \u00fczerinden olaylar\u0131n kaydedilmesi giderek pop\u00fcler hale geldi. Mesajla\u015fma uygulamas\u0131nda \u00f6nemli bildirimleri almak kolay ve h\u0131zl\u0131d\u0131r. Ancak, bu yakla\u015f\u0131m dikkat gerektirir; uygulama g\u00fcnl\u00fcklerinde hassas verileri iletmemenizi ve ayr\u0131ca Telegram ayarlar\u0131ndan gruptaki i\u00e7eri\u011fin kopyalanmas\u0131n\u0131 ve iletilmesini yasaklaman\u0131z\u0131 veya Telegram botu arac\u0131l\u0131\u011f\u0131yla mesaj g\u00f6nderirken protect_content<\/em> parametresini kullanman\u0131z\u0131 \u00f6neririz.<\/p>\n

\u00d6nemli not: G\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 tespit eder etmez Rubetek ile ileti\u015fime ge\u00e7tik. Bu yaz\u0131 yay\u0131nland\u0131\u011f\u0131nda sorun giderilmi\u015fti.<\/em><\/p><\/blockquote>\n

Potansiyel sald\u0131rganlar, kullan\u0131c\u0131n\u0131n t\u00fcm uygulamalar\u0131n\u0131n geli\u015ftiriciye g\u00f6nderdi\u011fi verilere eri\u015fim sa\u011flayabilirdi. Bu verilerin listesi ak\u0131l almaz boyutta:<\/p>\n