Bir güvenlik araştırmacısı, Sekiz Sleep’in internete bağlı akıllı yataklarında kritik güvenlik açıklarını ortaya çıkardı, açıkta kalan Amazon Web Hizmetleri (AWS) kimlik bilgilerini, uzak SSH backrods ve kullanıcıların tüm ev ağlarına potansiyel erişimi ortaya çıkardı.
Bulgular, tüketiciler günlük kullanım için bağlantılı cihazları giderek daha fazla benimsedikçe IoT cihaz güvenliği konusunda artan endişelerin altını çizmektedir.
Araştırmacı AWS anahtarlarını ve uzaktan erişim protokollerini keşfeder
Soruşturma, 2.000 $ ‘lık sıcaklıkta düzenlenmiş sekiz uyku baklası yatak kapağını satın alan araştırmacı, cihazın ürün yazılımına gömülü canlı AWS kimlik bilgilerini keşfettiğinde başladı.
Bu anahtarlar, Amazon Kinesis veri akışlarına yazma, potansiyel olarak saldırganların uyku verilerini manipüle etmesine veya aşırı API istekleri aracılığıyla önemli finansal hasar vermesine izin verdi.
Sekiz uyku bilgilendirildikten sonra anahtarları iptal ederken, olay sistemik güvenlik boşluklarını vurguladı.
Daha fazla analiz daha endişe verici bir sorun ortaya koydu: uzaktan bağlantı-api.8slp.net aracılığıyla erişilebilen uzak bir SSH arka kapı.
Yapılandırma dosyaları, eng@eightsleep.com adresindeki mühendisleri gösterdi. Linux tabanlı sistemlerde çalışan kullanıcıların yataklarında keyfi komutlar yürütmek için standart kod inceleme süreçlerini atlayabilir.
Araştırmacı, “Bu sadece yatak sıcaklıklarını ayarlamakla ilgili değil” dedi. “Bu, Wi-Fi’nizdeki her cihaza bir kapı-bağlılar, akıllı kilitler, güvenlik kameraları.”
SSH güvenlik açığı, hassas verilere benzeri görülmemiş erişim sağlar:
- Uyku düzenleri ve yatak doluluk tespiti
- Titreşim uyarılarının veya alarmlarının uzaktan aktivasyonu
- Bağlı cihazlara ağ geçiş özellikleri
Özellikle, sekiz uyku sistemi, bu erişimi izlemek için kullanıcı tarafından erişilebilir günlüklerden yoksundur.
Araştırmacı, riski Uber’in çalışanların politikacıları ve ünlüleri izlediği 2014 “Tanrı Modu” skandalı ile karşılaştırarak, tehlikeye atılan mühendislik kimlik bilgilerinin benzer istismarları sağlayabileceğini vurguladı.
Şirket yanıtı ve tüketici alternatifleri
Sekiz uyku, SSH arka kapı endişelerini halka açık bir şekilde ele almamıştır, ancak daha önce “uyuyoruz” gibi sosyal medya yayınları aracılığıyla uyku izleme özelliklerini pazarlamıştı.
Bu arada, araştırmacı, yatağın soğutma tüplerini yeniden yönlendirerek, aynı termoelektrik teknolojiyi kullanan bir cihaz olan 150 $ ‘lık bir akvaryum soğutucu kullanarak düşük teknolojili bir çözüm tasarladı.
Bu modifikasyon, internet bağımlılığı, abonelik ücretleri veya saldırı yüzeyleri olmadan sıcaklık kontrolünü korur.
Bu olay, kolaylığın genellikle güvenliği gölgede bıraktığı IoT ekosistemlerindeki yaygın sorunları yansıtmaktadır.
Araştırmacı, üreticileri sıfır tröst mimarileri ve şifrelenmiş yerel kontrolleri benimsemeye çağırdı: “Yatağınız bilgisayar korsanları için bir Truva atı olmamalı.”
Şimdilik, tüketiciler bağlı cihazların faydalarını dijital ve fiziksel güvenliklerine karşı tartmalıdır.
Tarihsel ihlallere analojiler (örneğin, Uber’in “Tanrı modu”) layperson dostu paralellikler sağlarken, akvaryum soğutucu çözümü promosyon dili olmadan eyleme geçirilebilir tavsiyeler sunar.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here