Akıllı ampul ve uygulamadaki bir güvenlik açığının Wi-Fi şifrenizi potansiyel olarak riske atabileceği yönündeki raporları inceliyoruz.
Yeni araştırmalar, popüler bir akıllı ampul markasının Wi-Fi ağ şifrenizi riske atmasıyla IoT cihazlarından kaynaklanan başka bir potansiyel tehlikeye dikkat çekiyor. Londra Üniversitesi ve Catania Üniversitesi’nden araştırmacılar, yaygın olarak kullanılan IoT ürünlerinin tehlikelerini açıklayan bir makale hazırladılar. Bu durumda ev veya ofis ağınıza erişim sağlamak için akıllı ampullerin nasıl tehlikeye atılabileceği ortaya çıkıyor.
TP-Link Tapo L530 E akıllı ampulü ve TP-Link Tapo uygulamasını kullanırsanız, yakın gelecekte akıllı ampulle ilgili bazı okumalara sahip olacaksınız.
Bleeping Computer, Google Play üzerinden en az 10 milyon uygulama kurulumunun mevcut olduğunu bildiriyor. Uygulama açıklamasından:
Tapo uygulaması, Tapo akıllı cihazlarını dakikalar içinde kurmanıza yardımcı olur ve ihtiyacınız olan her şeyi parmaklarınızın ucuna getirir
• Akıllı cihazınızı her yerden kontrol edin.
• Google Home ve Amazon Echo ile cihazı sesle kontrol edin.
• Birisinin evdeymiş gibi görünmesini sağlamak için Uzakta modunu önceden ayarlayın.
• Cihazı otomatik olarak açmak veya kapatmak için bir geri sayım sayacı ayarlayın.
• Cihazın belirli zamanlarda otomatik olarak ne zaman açılıp kapatılacağını planlayın.
Akıllı ev aydınlatması söz konusu olduğunda tüm oldukça standart ücretler. Ampuller yönlendiricinize bağlanabilir ve ampuller ilgili uygulama aracılığıyla kontrol edilebilir. Kendi evinizde de benzer bir kurulum olabilir. Ancak bu durumda İtalyan araştırmacılar, akıllı ürünlerin kullanımını potansiyel olarak riskli bir teklif haline getiren daha güvensiz konulara ve uygulamalara ışık tuttu.
Toplamda dört sorunla birlikte, parola alımına ve cihaz manipülasyonuna izin veren çok sayıda yüksek önem dereceli güvenlik açığı bulunmaktadır.
CVSS puanı 10 üzerinden 7,6 olan bir güvenlik açığı, saldırganların doğrulama anahtarlarını kaba kuvvet yoluyla veya Tapo uygulamasının kendisini kaynak koda dönüştürerek almasına olanak tanıyor. CVSS değeri 8,8 olan diğer yüksek önemdeki kusur, ampulün yanlış kimlik doğrulamasıyla ilgilidir; bu, cihazın kimliğine bürünülebileceği ve Tapo şifre hırsızlığına ve cihazın manipülasyonuna izin verebileceği anlamına gelir.
O kadar ciddi olmayan diğer iki sorun, alınan mesajların kaç yaşında olduklarına ilişkin kontrollerin yapılmaması ve şifreleme sırasında rastgelelik olmamasıyla ilgilidir.
“Ciddi” güvenlik açıkları söz konusu olduğunda hasar potansiyeli nedir? En kötü senaryoda birisi Tapo uygulaması aracılığıyla Wi-Fi şifrenizi kaydırabilir ve ardından söz konusu ağdaki tüm cihazlara erişebilir.
Bleeping Computer bu saldırı planında birkaç kırışıklık olduğunu fark ediyor. Bunlardan en önemlisi, saldırının başarılı olması için cihazın kurulum modunda olması gerektiğidir. Muhtemelen pek çok insanın ampulleri takıp kurmamasını beklemezsiniz, ancak saldırgan bu sorunu aşabilir. Yani: Uygulamaya birkaç tıklamayla ampulünüzün kimliğini kaldırabilirler ve böylece yeni bir kurulum ihtiyacını zorlayabilirler.
Bu kusurları gidermek açısından araştırmacılar, dört sorunun tamamını raporlamak için TP-Link’in Güvenlik Açığı Araştırma Programından (VRP) yararlandıklarını belirtiyorlar. TP-Link, hem ampul hem de uygulama için düzeltmeler üzerinde çalışmaya başladıklarını bildirdi. Bu yazının yazıldığı sırada bunun için belirli bir tarih belirtilmemiştir. Bu sorunları “düzeltmek” için önerilen bazı geçici çözümler vardır, ancak bunlar kullanıcıların aksine üreticileri hedef almaktadır.
Ev veya ofis ağınızı kullanan herhangi bir ürünle uğraşırken iyi güvenlik uygulayabilir ve uygulamalısınız. Güçlü şifreler, çok faktörlü kimlik doğrulama, hatta uzun süre kullanılmayacak olan ürünlerin kapatılması.
Yukarıdaki TP-Link sorunları söz konusu olduğunda kullanıcılar, güvenlik güncellemesi bildirimleri için resmi web sitesini el altında tutmalı ve mümkün olduğunca tüm uygulamaların ve donanım yazılımının güncel olduğundan emin olmalıdır. Bunu diğer tüm akıllı cihazlarınız için de yapmalısınız: Bebek monitörleri, web kameraları, güvenlik sistemleri ve yardımcı hizmet kontrolleri. Akıllı evler kalıcıdır ve saldırganların yararlanabileceği kolay yollar sağlamadığımızdan emin olmak bizim sorumluluğumuzdadır.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.