Lüks otellerdeki Android tabanlı kiosk tabletlerinde bulunan şaşırtıcı bir güvenlik kusuru, potansiyel olarak saldırganların klima, aydınlatma ve diğer oda fonksiyonlarını uzaktan kontrol etmesine izin veren ciddi bir güvenlik açığı ortaya çıkardı.
Lac Co., Ltd.’deki güvenlik araştırmacıları tarafından vurgulanan soruşturma, bu güvenlik açıklarının konuk gizliliğini ve otel güvenliğini nasıl tehlikeye atabileceğini ortaya koyuyor.
Masumca başladı. Lac Co., Ltd.’den bir güvenlik araştırmacısı, balayları sırasında Okinawa’daki lüks bir otelde kalmak, konuk odalarında bir Android tablet fark etti.
Şimdi lüks otellerde yaygın olan bu cihazlar, kolaylık, AC, aydınlatma ve oda servis siparişleri gibi olanakları kontrol ediyor.
Böyle bir sistemin güvenliğini merak eden araştırmacı, eşleri uyurken gece geç saatlerde bir soruşturma yürüttü. Ortaya çıkardıkları şey endişe vericiydi.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Android kiosk modu tabletlerinde güvenlik açıkları
- USB hata ayıklama sömürüsü
Araştırmacılar, USB hata ayıklamasının belirli koşullar altında tablette etkinleştirildiğini keşfettiler. Cihazı yeniden başlatarak ve USB aracılığıyla hızlı bir şekilde bağlayarak, hassas cihaz verilerine hata ayıklama ve erişimi etkinleştirmek için güvenlik ayarlarını atladılar. Bu, saldırganların kötü niyetli uygulamalar kurmasına veya kameralar ve mikrofonlar aracılığıyla kulak misafiri olmasına izin verebilir.
- Yeniden başlatmada geçici ayarlar değişir
Android işletim sisteminin başlatıldığı ve Kiosk uygulamasının yüklendiği zaman arasında, saldırganlar sistem ayarlarına erişebilir, hata ayıklamayı açabilir veya diğer kritik seçenekleri yapılandırabilir.
- Güvenli Mod İstismar
Tableti güvenli modda önyükleyerek, kısıtlayıcı kiosk uygulaması devre dışı bırakıldı, ana ekranı açığa çıkardı ve saldırganların cihazda serbestçe gezinmesine, ayarları değiştirmesine ve özelliklerini kullanmasına izin verdi.
- Kök erişim potansiyeli
Bootloader’ın kilidini açarak – bu tabletlerde şaşırtıcı bir şekilde izin verilen bir işlem – saldırganlar kök ayrıcalıkları kazanabilir ve cihazı tam olarak kontrol etmelerini, casus yazılımları yüklemelerini veya sistem bütünlüğünü daha da tehlikeye atabilir.
- Ağ Tabanlı Saldırılar
Konuk odası tabletleri, aydınlatma ve klima kontrol eden merkezi bir sunucu ile iletişim kurdu. Araştırmacılar, tabletler ve bu sunucu arasındaki kimlik doğrulamanın kötü uygulandığını buldular. Bir saldırgan, ağ isteklerindeki belirli parametreleri manipüle ederek, diğer odaların olanakları üzerinde kontrol sahibi olarak veya hatta konsiyerj ile sohbet iletişimine casusluk yaparak başka bir odanın cihazı olarak poz verebilir.
- Zayıf Wi-Fi Güvenliği
Tabletler, Wi-Fi iletişimi için, yalnızca uygulama koduna gömülü bir parola ile korunan gizli bir SSID kullandı. Deşife edildikten sonra, bu saldırganlara tüm ağa erişimi sağladı ve daha fazla odayı savunmasız hale getirdi.
Araştırma, ülke çapında birden fazla otel tarafından kullanılan kiosk sistemlerinde aynı güvenlik açıkları buldu, bu da bunun izole bir sorun olmadığını, bu tür Android kiosk tabletlerinin nasıl dağıtıldığı ve sabitlendiği konusunda sistemik bir kusur olduğunu gösterdi.
Bu kusurların sonuçları endişe vericidir:
- Konuk odası işlevlerinin uzaktan kumandası: Saldırganlar diğer konuk odalarındaki AC, ışıklar ve oda servisi taleplerini kontrol edebilir.
- Konuk Gizlilik İhlali: Kameralara, mikrofonlara veya sohbet günlüklerine erişerek.
- İtibarın hasarı: Lüks oteller, konuk deneyimlerinden ve güvenliğinden ödün vermek için ciddi bir tepki ile karşılaşabilir.
Güvenlik açıkları, bilgi teknolojisi tanıtım ajansı (IPA) aracılığıyla etkilenen otellere ve kiosk tablet geliştiricilerine sorumlu bir şekilde açıklandı.
Bilinen tüm sorunlar o zamandan beri yamalandı ve operasyonel sistemler güncellendi. İşte geliştiriciler için önerilen düzeltmeler:
- USB hata ayıklamasını kalıcı olarak devre dışı bırakın: USB hata ayıklamasının yalnızca yetkili bakım sırasında erişilebilir olduğundan emin olun.
- Sistem ayarlarının erişimini kısıtlayın: Kiosk uygulamasını varsayılan başlatıcı haline getirerek yeniden başlatma sırasında değişiklikleri önleyin.
- Ağ Güvenliğini Geliştirin: Wi-Fi iletişimini güvence altına almak için WPA Enterprise Kimlik Doğrulaması ve İstemci Sertifikaları kullanın.
- Sunucu tarafı kimlik doğrulaması uygulayın: Sunucu kontrollü işlevlere yetkisiz erişimi önlemek için benzersiz kimlik bilgilerini her tabletle ilişkilendirin.
- Uygulama kodunu şaşırtın: Kod şifrelemesi ve diğer güvenlik uygulamaları yoluyla analiz kolaylığını azaltın.
Bu güvenlik açığı, Hotels gibi hassas ortamlarda dağıtılan IoT (Nesnelerin İnterneti) cihazlarında sağlam güvenlik için kritik ihtiyacın altını çizmektedir.
Geliştiriciler sadece sistemlerinin özelliklerini değil, aynı zamanda saldırganların da kullanabileceği potansiyel yollar da dikkate almalıdır. Oteller, üçüncü taraf sistemleri titizlikle test ederek ve denetleyerek konuk güvenliğine ve gizliliğini önceliklendirmelidir.
Android kiosk tabletlerinde bulunan güvenlik açıkları, modern teknolojide rahatlık ve güvenlik arasındaki hassas dengeyi vurgulamaktadır.
Bu sistemler konuklar için benzersiz bir konfor ve özelleştirme sunarken, yeni riskler de sunarlar. Bu cihazların sömürüye karşı hava geçirmez olmasını sağlamak, geliştiriciler ve otelciler için en önemli öncelik olmalıdır.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek