Etkin olarak kullanılan bir akıllı ev ekosistemi için geliştirilen kontrol cihazını inceleyen Kaspersky araştırmacıları çok sayıda kritik açık keşfettiler.
Bulunan açıklar arasında bulut altyapısındaki hatalar ve uzaktan kod çalıştırma imkanı bulunuyor. Bu açıklar sayesinde, dışarıdan kişiler kontrol cihazına erişerek “süper kullanıcı” yetkileri alabiliyor ve bu yolla akıllı ev altyapısı üzerinde istedikleri değişiklikleri yapabiliyorlar. Araştırmada elde edilen bulgular üretici firma Fibaro ile paylaşıldı ve hemen ardından güvenlik güncellemeleri yayınlandı.
Nesnelerin İnterneti (IoT) kavramının güvenliği üzerinde yapılan ilk araştırmaların üzerinden yıllar geçti. IoT teknolojisinin kullanım alanı genişledikçe bu araştırmaların önemi de artıyor. Yeni ürünler ve çözümler, yeni tehditlerin ortaya çıkmasına ve kullanıcı güvenliğinin riske atılmasına neden oluyor. Bir Kaspersky çalışanı evine kurduğu akıllı sistemin incelenmesi için şirketin araştırmacılarından yardım istedi. Bu amaçla, araştırmacılara akıllı ev sisteminin kontrol cihazına erişimini verdi. Kontrol cihazının seçilmesinin nedeni akıllı ev sistemindeki tüm işlemleri birbirine bağlaması ve gözetlemesiydi. Bu cihaza yapılacak başarılı bir saldırı, ev ekosisteminin tamamına erişilmesini sağlıyor. Bu da casusluktan fiziksel sabotaja kadar birçok farklı amaca hizmet edebiliyor.
Araştırmanın ilk bilgi toplama evresinde araştırmacılar birçok potansiyel saldırı vektörü keşfettiler. Ev otomasyon sistemlerinde sıkça kullanılan Z-Wave kablosuz iletişim protokolü, yönetim panelinin web arayüzü ve bulut altyapısı üzerinden saldırı gerçekleştirilebiliyordu. Araştırmacılar saldırı için en etkili yöntemin bulut altyapısını kullanmak olduğunu gördüler. Cihaza işlem talebi göndermekte kullanılan yöntemler incelendiğinde, yetki verme sürecinde açıklar olduğu ve bunun da uzaktan kod çalıştırma ihtimali verdiği sonucuna varıldı.
Düzenli ve temiz bir araştırma yapıldı
Bu yöntemler kullanıldığında dışarıdan bir kişi Fibaro ev merkezlerinden buluta yüklenen tüm yedeklere erişip zararlı yazılım içeren yedekleri buluta yükleyebiliyordu. Ardından bu yedekleri, sistemde hiçbir yetkileri olmamasına rağmen istediği bir kontrol cihazına da indirebiliyordu.
Kaspersky araştırmacıları deneyi tamamlamak için kontrol cihazına bir test saldırısı düzenlediler. Bunun için ayrı olarak geliştirilmiş parola korumalı bir kod içeren özel bir yedek dosya hazırlandı. Ardından, cihazın sahibine bulut üzerinden bir e-posta ve SMS göndererek kontrol cihazı yazılımının güncellenmesi gerektiğini söylediler. “Kurban” da talep üzerine zararlı yazılım içeren yedeği indirdi. Bu sayede araştırmacılar akıllı ev kontrol cihazında süper kullanıcı haklarına sahip oldu ve bağlantılı tüm sistem üzerinde değişiklik yapma imkanına kavuştular. Araştırmacılar sisteme girmeyi başardıklarını göstermek için de alarm sesini değiştirdiler. Araştırmayı isteyen Kaspersky çalışanı ertesi sabah yüksek seviyeli davul sesiyle uyandı.
Kaspersky ICS CERT Güvenlik Araştırmacısı Pavel Cheremushkin, “Akıllı ev kontrol cihazına erişen gerçek saldırganlar bizim gibi yalnızca alarm sesini değiştirerek şaka yapmakla kalmazlar. İncelediğimiz cihazın ana görevlerinden biri tüm “akıllı cihazları” entegre etmek ve ev sahibinin bunların tümünü tek bir merkezden yönetmesini sağlamaktı. Yaptığımız değerlendirmenin en önemli ayrıntısı ise aktif olarak kullanılan bir sistemin hedef alınması oldu. Önceden, araştırmaların çoğu laboratuvar ortamlarında gerçekleşiyordu. Bu araştırma, IoT güvenliği konusunda farkındalık artsa da çözülmesi gereken sorunlar olduğunu gösteriyor. Daha da önemlisi, incelediğimiz bu cihazlar seri bir şekilde üretiliyor ve birçok akıllı ev ağında kullanılıyor. Sorunlara karşı gösterdiği sorumlu tavır nedeniyle Fibaro’ya teşekkür ediyoruz. Kendilerinin siber güvenlik konusuna odaklandıklarını biliyoruz. Arkadaşımızın evi şimdi araştırmadan öncesine kıyasla çok daha güvenli” dedi.
FIBARO CPO’su Krzysztof Banasiak, “IoT altyapısı birbiriyle uyumlu çalışan çok katmanlı ve karmaşık bir sistem gerektiriyor. Çok fazla uygulama ve altyapı çalışması yapılıyor. Kaspersky’e yaptığı araştırma ve çabası için teşekkür ediyoruz. Bu araştırma, ürünlerimizin ve hizmetlerimizin güvenliği üzerinde çalışmamıza yardımcı oldu. Birlikte potansiyel açıkları kapattık. FIBARO kullanıcılarına güncellemeleri kurmalarını ve e-postalarının FIBARO web sitesindeki duyurularla uyumlu olup olmadığını kontrol etmelerini önemle tavsiye ediyoruz. Yeni güncelleme sisteme yeni işlevler eklemesinin yanı sıra siber suçluların özel verileri çalmasını da zorlaştırıyor” dedi.
Cihazlarının güvenli olmasını isteyen kullanıcılara şunları tavsiye ediyoruz:
- Akıllı cihazları hayatınızın hangi bölümünde kullanacağınızı belirlerken güvenlik risklerini de göz ardı etmeyin.
- Bir IoT cihazı satın almadan önce internette cihazın güvenlik açıkları hakkında araştırma yapın.
- Yeni ürünlerde karşılaşabileceğiniz standart sorunların yanı sıra piyasaya yeni çıkan cihazlarda güvenlik araştırmacıları tarafından henüz keşfedilmemiş güvenlik sorunları bulunabilir. Buradan hareketle, piyasadaki en yeni ürünler yerine çok sayıda yazılım güncellemesi almış ürünlere yönelmek daha iyi bir tercih olacaktır.
- Sahip olduğunuz tüm cihazların en son güvenlik ve yazılım güncellemelerini kurduğunuzdan emin olun.
- Kullanıcıların çevrimiçi hesaplarını ve evlerindeki Wi-Fi ağlarını koruyarak ağın gizli ve özel kalmasını sağlayan Kaspersky Security Cloud çözümünü kullanmaya başlayın. Ağa izinsiz bağlanmaya çalışanlar olduğunda kullanıcıyı uyaran bu çözüm evdeki IoT cihazlarını koruma altına alıyor ve güvenlik tehditlerine karşı harekete geçilmesi gereken anlarda uzman tavsiyelerde bulunuyor.