Siber güvenlik firması Pen Test Partners’a göre Livall’ın akıllı kaskları, konum verileri de dahil olmak üzere kritik, hassas kullanıcı bilgilerinin sızmasına yol açabilecek doğal bir kusura sahipti.
Oakley/Recon gözlükleri ve akıllı kayak kaskı hoparlörleri gibi akıllı kayak teknolojilerinin ortaya çıkışı, kayak yapmayı veya bisiklete binmeyi çok daha eğlenceli hale getirdi ancak internete bağlı cihazların oluşturduğu tehlikeler göz ardı edilemez.
İngiltere merkezli siber güvenlik test firması Pen Test Partners (PTP) tarafından yürütülen araştırmada akıllı kasklar ve diğer internet bağlantılı cihazlarla ilgili en son güvenlik ve gizlilik sorunları vurgulandı.
PTP’ye göre Livall’ın akıllı kaskları, kritik ve hassas kullanıcı verilerinin sızmasına yol açabilecek doğal bir güvenlik açığına sahip. Bilginiz olsun, Livall akıllı kayak ve bisiklet kasklarıyla ünlüdür. Akıllı kaskları, kayakçı/bisikletçi gruplarının yerleşik hoparlör ve mikrofonu kullanarak iletişim kurmasına ve Livall’ın iki akıllı telefon uygulamasından herhangi birini kullanarak konumla ilgili bilgileri bir grup içinde paylaşmalarına olanak tanır. Uygulamalardan biri bisiklet sürücülerine, diğeri ise kayakçılara yönelik olup her ikisi de toplamda yaklaşık bir milyon kullanıcıya sahiptir.
Ancak Pen Test Partners’ın araştırmacısı Ken Munro’ya göre güvenlik açığı, herhangi bir grubun sesli sohbetlerine ve konum verilerine kolay erişime olanak tanıyor. Livall’ın grup sesli sohbeti ve konum paylaşımına yönelik uygulamaları, kullanıcıların yalnızca altı haneli sayısal kod kullanılarak erişilebilen aynı arkadaş grubunun parçası olmasını gerektirir. Munro, kodun yeterince rastgele olmadığını ve herkesin olası 1 milyon grup sohbet kodundan herhangi birine erişmesine izin vermediğini vurguladı.
“Bu 6 basamaklı grup kodu yeterince rastgele değil. Munro, “Tüm grup kimliklerini birkaç dakika içinde kaba kuvvetle çalıştırabiliriz” diye yazdı. Blog yazısı.
Güvenlik açığının ortaya çıktığı yer burasıdır. Bir kullanıcının diğer üyeleri uyarmadan katılmasına olanak tanıyan bir grup kodu otomatik olarak girilebilir. Bu, kullanıcıların konumlarına ve sesli iletişimlerine erişim sağlar. Sahte bir grup kullanıcısı yalnızca meşru bir kullanıcının grup üyelerini kontrol etmesi durumunda tespit edilebilir.
Livall’dan PTP’ye Yanıt Yok
Burada araştırmacılara göre Livall ile iletişime geçmek için birçok girişimde bulunulduğunu ancak herhangi bir yanıt alınamadığını belirtmekte fayda var. Ardından PTP, Livall ile temasa geçmek için 22 Ocak’ta Tech Crunch’tan Zack Whittaker ile temasa geçti.
Whittaker, kayak uygulamasından daha fazla kusuru olan bisiklet uygulamasıyla ilgili sorunları tartışmayı kabul etti. Livall’ın CEO’su 23 Ocak’ta Whittaker’a yanıt verdi ve sorunun çözülmesi için iki hafta süre istedi. 5 Şubat’ta Whittaker’a uygulamanın daha güçlü birleştirme kodlarıyla güncellendiği bilgisi verildi.
Bu arada, akıllı cihazların ve uygulamaların ele geçirilmesi eğilimi endişe verici derecede hızlı bir ivme kazandığından IoT cihazı kullanıcılarının dikkatli olması gerekiyor. Yakın zamanda yayınlanan bir raporda, Hackread.com vurgulandı Airbus Flysmart+ Manager paketindeki kritik bir sorunu ortaya çıkaran, Pen Test Partners tarafından yapılan bir başka şok edici keşif.
Airbus’a ait BT hizmetleri şirketi NAVBLUE tarafından geliştirilen uygulama, devre dışı bırakılmış bir güvenlik kontrolüne sahipti; bu, uygulamanın güvenli olmayan yöntemler kullanarak sunucularla iletişim kurmasına olanak tanıyor ve potansiyel olarak bir saldırganın uçak performans verilerini değiştirmesine veya havaalanı bilgilerini ayarlamasına olanak tanıyordu. Araştırmacılar Haziran 2022’de Airbus’a kusur hakkında bilgi verdi ve sorun Şubat 2023’te düzeltildi.
Uzmanlar Tartışıyor
Bu soruna ve IoT cihazlarındaki güvenlik açıklarına ilişkin bilgi edinmek için şu adrese ulaştık: Adam Piltonşirketinde Siber Güvenlik Danışmanı Siber Akıllı ve İngiltere Polisi Dorset’te siber suçları araştıran eski Dedektif Çavuş.
“Livall kasklarında keşfedilen güvenlik açıkları ele alındı, ancak bu araştırma çok önemli hususları gündeme getiriyor. Adam, üreticilerin güçlü güvenlik önlemleri alması gerektiğini, ancak kullanıcıların da uygulamalara izin vermenin risklerini anlaması gerektiğini söyledi.
Adam, “Polis Siber Suç Ekibine liderlik ederken bunun gibi basit kusurların açığa çıktığı birçok vaka gördüm” dedi. “Bu, mahremiyet ihlallerine yol açtı, aile içi istismar gibi suçları mümkün kıldı ve çoğu zaman önemli bir siber saldırıya yol açan bir dizi olayın ilk adımı oldu.”
“Gecikmeler güvenlik risklerini artırabileceğinden üreticilerin zamanında yanıt vermesi hayati önem taşıyor. Siber güvenlik alanında iş birliği ve şeffaflık şarttır” tavsiyesinde bulundu.
İLGİLİ MAKALELER
- Muhabirin E-postası Uçakta Hacklendi
- Küçük uçaklar hacklenmeye karşı savunmasız olduğu için uyarı
- Akıllı alarm kusuru, bilgisayar korsanlarının araba motorunu takip etmesine ve kapatmasına olanak tanıyor
- Smartwatch kusuru, bilgisayar korsanlarının demans hastalarına aşırı doz vermesine izin veriyor
- Uçaklarda WiFi Sağlayan Cihazlarda Kritik Kusurlar Bulundu