ABD hükümeti, ülke çapında tahminen 50.000 konuta girişi güvence altına alan akıllı kilitlerin, kilitlerden herhangi birini uzaktan açmak için kullanılabilecek sabit kodlu kimlik bilgileri içerdiği konusunda uyarıyor. Kilit yapımcısı Cıvıltı Sistemleri Kritik zayıflığın ilk kez Mart 2021’de bildirilmesine rağmen yanıt vermemeye devam ediyor. Bu arada Chirp’in ana şirketi, RealPage, Inc.kiraları yasadışı olarak artırmak için ev sahipleriyle gizli anlaşma yaptığı iddiasıyla birçok ABD eyaleti tarafından dava ediliyor.
7 Mart 2024’te, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Chirp Systems akıllı kilitlerinde “düşük saldırı karmaşıklığına” sahip, uzaktan yararlanılabilen bir güvenlik açığı konusunda uyarıda bulundu.
CISA’nın uyarısı, “Chirp Access, kimlik bilgilerini kaynak kodunda uygunsuz bir şekilde saklıyor ve potansiyel olarak hassas bilgilerin yetkisiz erişime maruz kalmasına neden oluyor” uyarısında bulunarak hataya CVSS (kötülük) puanı olarak 9,1 (olası 10 üzerinden) verildi. “Chirp Systems, bu güvenlik açığını azaltmak için CISA ile çalışma taleplerine yanıt vermedi.”
Matt BrownCISA’nın kusuru rapor ettiğine inanılan araştırmacı, Amazon Web Services’te kıdemli bir sistem geliştirme mühendisidir. Brown, bu zayıf noktayı keşfettiğini ve apartmanını yöneten şirketin Chirp akıllı kilitlerini kullanmaya başlaması ve herkese dairelerine girip çıkmak için Chirp’in uygulamasını yüklemelerini söylemesinin ardından Mart 2021’de bunu Chirp’e bildirdiğini söyledi.
Brown, KrebsOnSecurity’ye “APK uygulamalarını indirmek ve derlemek için oldukça basit bir iş akışına sahip olan Android kullanıyorum” dedi. “Cihazlarımda neye güveneceğim konusunda oldukça seçici olduğumdan Chirp’i indirdim ve derlemeyi tamamladıktan sonra şifreleri ve özel anahtar dizilerini bir dosyada sakladıklarını gördüm.”
Brown, bu sabit kodlu kimlik bilgilerini kullanarak, Chirp’in kullandığı ve akıllı kilit satıcısı tarafından yönetilen bir uygulama programlama arayüzüne (API) bağlanabildiğini buldu. Ağustos.comve bu teknolojiyi kullanan herhangi bir binadaki herhangi bir kapıyı numaralandırın ve uzaktan kilitleyin veya kilidini açın.
Brown, kiralama ofisine şikayette bulunduğunda kendisine, anahtarlığı ön kapısına yaklaştırdığında kilidi açmak için Yakın Alan İletişimi’ni (NFC) kullanan 50 dolarlık küçük bir anahtarlık sattıklarını söyledi. Ancak o, bu anahtarın, herhangi birinin açığa çıkan kimlik bilgilerini ve Chirp mobil uygulamasını kullanarak ön kapısının kilidini uzaktan açma yeteneğini ortadan kaldırmadığını söyledi.
Chirp ile etkinleştirilen akıllı kilit. Resim: Camdenliving.com
Ayrıca anahtarlıklar kimlik bilgilerini düz metin olarak ön kapısına iletiyor; bu da birinin NFC etiketlerini okumak ve yazmak için yapılmış bir akıllı telefon uygulamasıyla ona çarparak anahtarlık klonlayabileceği anlamına geliyor.
Ne August ne de Chirp Systems yorum taleplerine yanıt vermedi. Tam olarak kaç dairenin ve diğer konutların savunmasız Chirp kilitlerini kullandığı belli değil, ancak şirket hakkında 2020’deki çok sayıda makale, yaklaşık 50.000 birimin Ağustos API’sına sahip Chirp akıllı kilitlerini kullandığını belirtiyor.
Brown’un kusuru Chirp Systems’e bildirmesinden yaklaşık bir yıl önce, şirket tarafından satın alındı. Gerçek Sayfa1998 yılında çok aileli mülk yönetimi ve veri analitiği yazılımı geliştiricisi olarak kurulan bir firma. RealPage, 2021 yılında özel sermaye devi Thoma Bravo tarafından satın alındı.
Brown, Chirp’in ürünlerinde bulduğu açıklığın “düzeltilmesi çok kolay olan bariz bir kusur” olduğunu söyledi.
“Bu sadece onların bunu yapmaya motive olmaları meselesi” dedi. “Ama artık bir özel sermaye şirketinin parçasılar, dolayısıyla kimseye karşı sorumlu değiller. Çok kötü, çünkü buranın sakinleri gibi değil [the affected] mülklerin başka bir seçeneği var. Ya uygulamayı kullanmayı kabul edeceksiniz ya da taşınacaksınız.”
Ekim 2022’de bir soruşturma ProPublica RealPage’in kira belirleme yazılımı pazarındaki hakimiyeti incelendi ve “ev sahiplerinin kiracılara mümkün olan en yüksek kiraları vermesine yardımcı olmak için gizemli bir algoritma kullandığı” tespit edildi.
ProPublic, “Kiracılar için sistem, apartman personeliyle pazarlık yapma uygulamasını alt üst ediyor” dedi. “RealPage kiracılarla pazarlık yapmayı caydırıyor ve hatta bazı durumlarda ev sahiplerinin kiraları artırmak ve daha fazla para kazanmak için daha düşük bir doluluk oranını kabul etmelerini tavsiye ediyor. Algoritmanın geliştiricilerinden biri ProPublica’ya kiralama acentelerinin bilgisayar tarafından oluşturulan fiyatlandırmayla karşılaştırıldığında ‘çok fazla empati’ye sahip olduğunu söyledi.”
Geçen yıl ABD Adalet Bakanlığı, 9 milyar dolarlık apartman yazılım şirketini ev sahiplerinin kiraları şişirmek için gizli anlaşma yapmasına yardım etmekle suçlayan düzinelerce kiracının açtığı büyük bir davanın arkasında durdu.
Şubat 2024’te Arizona ve Columbia Bölgesi başsavcıları, RealPage yazılımının kendi eyaletlerinde bir kiralama tekeli yaratılmasına yardımcı olduğunu iddia ederek RealPage’e dava açtı.