İSTANBUL(AA) - Etkin olarak kullanılan bir akıllı ev ekosistemi için geliştirilen kontrol cihazını inceleyen Kaspersky araştırmacıları çok sayıda kritik açık keşfetti.
Kaspersky'den yapılan açıklamaya göre, bir Kaspersky çalışanı evine kurduğu akıllı sistemin incelenmesi için şirketin araştırmacılarından yardım istedi. Bu amaçla, araştırmacılara akıllı ev sisteminin kontrol cihazına erişimini verdi. Kontrol cihazının seçilmesinin nedeni akıllı ev sistemindeki tüm işlemleri birbirine bağlaması ve gözetlemesiydi. Bu cihaza yapılacak başarılı bir saldırı, ev ekosisteminin tamamına erişilmesini sağlıyor. Bu da casusluktan fiziksel sabotaja kadar birçok farklı amaca hizmet edebiliyor.
Araştırmanın ilk bilgi toplama evresinde araştırmacılar birçok potansiyel saldırı vektörü keşfettiler. Ev otomasyon sistemlerinde sıkça kullanılan Z-Wave kablosuz iletişim protokolü, yönetim panelinin web arayüzü ve bulut altyapısı üzerinden saldırı gerçekleştirilebiliyordu. Araştırmacılar saldırı için en etkili yöntemin bulut altyapısını kullanmak olduğunu gördüler. Cihaza işlem talebi göndermekte kullanılan yöntemler incelendiğinde, yetki verme sürecinde açıklar olduğu ve bunun da uzaktan kod çalıştırma ihtimali verdiği sonucuna varıldı.
Bu yöntemler kullanıldığında dışarıdan bir kişi Fibaro ev merkezlerinden buluta yüklenen tüm yedeklere erişip zararlı yazılım içeren yedekleri buluta yükleyebiliyordu. Ardından bu yedekleri, sistemde hiçbir yetkileri olmamasına rağmen istediği bir kontrol cihazına da indirebiliyordu.
Kaspersky araştırmacıları, deneyi tamamlamak için kontrol cihazına bir test saldırısı düzenledi. Bunun için ayrı olarak geliştirilmiş parola korumalı bir kod içeren özel bir yedek dosya hazırlandı. Araştırmacılar ardından da cihazın sahibine bulut üzerinden bir e-posta ve SMS göndererek kontrol cihazı yazılımının güncellenmesi gerektiğini söyledi. “Kurban” da talep üzerine zararlı yazılım içeren yedeği indirdi. Bu sayede araştırmacılar, akıllı ev kontrol cihazında süper kullanıcı haklarına sahip oldu ve bağlantılı tüm sistem üzerinde değişiklik yapma imkanına kavuştu. Araştırmacılar, sisteme girmeyi başardıklarını göstermek için de alarm sesini değiştirdi. Araştırmayı isteyen Kaspersky çalışanı ertesi sabah yüksek seviyeli davul sesiyle uyandı.
Açıklamada görüşlerine yer verilen Kaspersky ICS CERT Güvenlik Araştırmacısı Pavel Cheremushkin, arkadaşlarının evinin araştırma öncesine göre çok daha güvenli olduğunu belirterek, “Akıllı ev kontrol cihazına erişen gerçek saldırganlar bizim gibi yalnızca alarm sesini değiştirerek şaka yapmakla kalmazlar. İncelediğimiz cihazın ana görevlerinden biri tüm “akıllı cihazları” entegre etmek ve ev sahibinin bunların tümünü tek bir merkezden yönetmesini sağlamaktı. Yaptığımız değerlendirmenin en önemli ayrıntısı ise aktif olarak kullanılan bir sistemin hedef alınması oldu. Önceden, araştırmaların çoğu laboratuvar ortamlarında gerçekleşiyordu. Bu araştırma, IoT güvenliği konusunda farkındalık artsa da çözülmesi gereken sorunlar olduğunu gösteriyor. Daha da önemlisi, incelediğimiz bu cihazlar seri bir şekilde üretiliyor ve birçok akıllı ev ağında kullanılıyor. Sorunlara karşı gösterdiği sorumlu tavır nedeniyle Fibaro’ya teşekkür ediyoruz. Kendilerinin siber güvenlik konusuna odaklandıklarını biliyoruz." ifadelerini kullandı.
Fibaro Ürün Yöneticisi Krzysztof Banasiak da IoT altyapısının birbiriyle uyumlu çalışan çok katmanlı ve karmaşık bir sistem gerektirdiğini kaydederek, "Çok fazla uygulama ve altyapı çalışması yapılıyor. Kaspersky’e yaptığı araştırma ve çabası için teşekkür ediyoruz. Bu araştırma, ürünlerimizin ve hizmetlerimizin güvenliği üzerinde çalışmamıza yardımcı oldu. Birlikte potansiyel açıkları kapattık. Fibaro kullanıcılarına güncellemeleri kurmalarını ve e-postalarının Fibaro web sitesindeki duyurularla uyumlu olup olmadığını kontrol etmelerini önemle tavsiye ediyoruz. Yeni güncelleme sisteme yeni işlevler eklemesinin yanı sıra siber suçluların özel verileri çalmasını da zorlaştırıyor” değerlendirmelerinde bulundu.