Ev aletlerinin internete bağlanabilmesi onları “akıllı” yaparken aynı zamanda da siber saldırganların ilgi odağı haline getiriyor.
IoT cihazların artışı ve akıllı teknolojilerin kullanımlarının artmasıyla gündeme gelen birden fazla şaşırtıcı haber duymaktayız. Bu haberlerden birisi de “kendi kendine ses kaydı alıp, rehberde bulduğu herhangi bir isme bu kaydı mesaj atan hoparlör” haberiydi.
Bu yazımızda ise benzer bir senaryoyu inceleyeceğiz, son zamanlarda kullanımı oldukça artan ve gün geçtikçe hayatımızda olmasına adapte olduğumuz bir ürün; ”Robotik elektrik süpürgesi” Elbette uzaktan bakıldığında oldukça işlevsel ve zaman kazandırıcı bir ürün olarak görülse de, kendi sistemi içerisinde birçok zararlı tehlike de barındırıyor.
Çalışmasını istediğiniz saati ayarlıyorsunuz, yerinden çıkıyor ve evi süpürüyor sonra da kendi şarj ünitesine dönüp şarj olmaya başlıyor. Eşyalara çarpmıyor, merdivenden düşmüyor, evlerde ve ofislerde kullanılıyor ve büyük kolaylık sağlıyor.
Bu haliyle her şey harika gibi ancak Positive Technologies’den iki araştırmacının yayınladığı rapor ile bir elektrik süpürgesinin nasıl bir casusa dönüşebileceğini öğrenmiş olduk.
CVE-2018-10987 uzaktan komut çalıştırma zafiyetinin tespit edildiği Dongguan Diqee 360 marka robotik süpürge “dinamik izleme” adı verilen bir mod için Wi-fi bağlantısı kuruyor ve üzerinde 360 derece kamera bulunduruyor.
Bu açıkla saldırganın uzaktan fiziksel olarak hareket ettirebildiği, resim ve video görüntüleri alabildiği belirlenmiş.
Positive Technologies’in raporuna göre CVE-2018-10987 olarak bilinen açık, cihazın Mac adresini elde edebilen bir saldırganın sistem yöneticisi yetkilerini de ele geçirmesine imkân sağlayabiliyor. Rapora göre güvenlik açığı “REQUEST_SET_WIFIPASSWD” işlevi içerisinde yer alıyor ve fabrika ayarlı bir kullanıcı adı ve parolanın (admin/888888) istismar edilmesi ile oluşuyor.
Farklı markalar ve farklı isimler altında robotik elektrik süpürgeleri de üreten, güvenlik kamerası, akıllı kapı zili, DVR’ler de dahil olmak üzere pek çok ürünü bulunan firmanın video modülü paylaşan diğer ürünlerinde de benzer bir zafiyet bulunabileceğinden şüpheleniliyor.
Positive Technologies, CVE-2018-10988 olarak bilinen ikinci bir güvenlik açığı bulduklarını da duyurdu ancak bu açığın istismar edilmesi için SD kart yuvasından fiziksel erişim gerekiyor. Güvenlik açığı konusunda firma bilgilendirilmiş ancak henüz yayınladıkları herhangi bir yama hakkında bilgi bulunmuyor.
Check Point Software Technologies tarafından, tehlikelere dikkat çekmek ve uygulamanın ne kadar kolay olduğunu göstermek adına 2017 yılında LG’nin akıllı süpürgesini hacklediklerinde çekilen videoyu buradan izleyebilirsiniz.
Robotik elektrik süpürgesi üzerinde bulunan Wi-fi, gece görüşü ve akıllı telefon kontrollü navigasyona sahip bir web kamerasının evde ya da ofiste nasıl bir casusa dönüşebileceğini gördükten sonra akıllı süpürge almak isteyenlerin Wi-fi bağlantısı kurmayan cihazları tercih etmelerini öneriyoruz.
İlk yorum yapan olun