Tatil yaklaşıyor, bu da şükran, sıcaklık ve (modern toplum bunu bize dayattığı için) hediye satın almak için mükemmel bir zaman olduğu anlamına geliyor.
Çocuklar için Bluey ve kazma kitleri ve LEGO’lar, iki yaş arası çocuklar için Fortnite ve AirPod’lar ve sırt çantaları ve özellikle sevdiğiniz bir yetişkin için televizyonlar, hava fritözleri, e-okuyucular, elektrikli süpürgeler, köpek besleyiciler ve daha fazlası, görünüşte hepsi gerekli çalışacak bir mobil uygulama.
“Nesnelerin İnterneti”, internete bağlanarak bir mobil uygulamadan veya bilgisayarınızdaki bir web tarayıcısından kontrol edilip izlenebilen sayısız ev ürününü tanımlamak için artık kabul edilen terimdir. Alışveriş yapanlar için faydaları açıktır. Tatil sırasında termostatlar kapatılabilir, işteyken ev kapı zilleri açılabilir ve çocuklar Noel arifesinde uyurken oyun konsolları video oyunları indirebilir.
İnternete bağlı bu akıllı cihazlardan bazıları kulağa biraz aptalca gelse de (Bloomberg muhabirinin çıplak elleriyle geride bıraktığı 400 dolarlık “akıllı meyve sıkacağı” gibi) meşru siber güvenlik riskleri de mevcut. Veri toplama ve internete bağlanma yeteneğine sahip akıllı cihazlar aynı zamanda bu verilerin çevrimiçi bilgisayar korsanlarına sızdırılmasının da kurbanı olabilir.
Yeni yıla girerken Malwarebytes Labs, geçtiğimiz yılın en tuhaf, en korkutucu ve en şaşırtıcı akıllı cihaz hikayelerinden bazılarına dönüp bakıyor. Okuyun ve keyfini çıkarın.
Milyonlarca araçlık pist hack’i
Yerel otoparkı dolduran en yeni araçlar size “akıllı cihazlar” gibi gelmeyebilir, ancak daha yakından incelendiğinde bu arabaların, SUV’ların, kamyonların ve minivanların kesinlikle öyle olduğunu görürsünüz. Konumu, hızı, kat edilen mesafeyi, emniyet kemeri kullanımını ve hatta sürücünün göz hareketlerini takip edebilen kameralar ve sensörlerle dolu olan modern araçlar, birçok kişinin tanımladığı gibi, “tekerlekli akıllı telefonlar”dır.
Yıllardır bu özellikle mobil cep telefonlarının (kusura bakmayın) siber güvenliği yeterliydi.
Bir grup güvenlik araştırmacısı 2014 yılında bir Jeep Cherokee’nin direksiyon ve fren sistemlerini hacklediğinde, hacker’ın dizüstü bilgisayarının fiziksel olarak Jeep’e bağlanmasını gerektiren daha önceki araştırmaları geliştiriyorlardı; karanlık siber suçluların kontrolü bir sürücünün elinden aldığını hayal ettiğimizde bu rahatlatıcı bir gerçeklikti. yüzlerce mil uzakta bir bilgisayar konsolunun arkasında otururken. Güvenlik araştırmacıları sonunda Jeep Cherokee’yi fiziksel bir bağlantı olmadan hacklemeyi başarsa da, yapılan çalışma hala sağlamdı.
Ancak bu yılın başlarında, ayrı bir güvenlik araştırmacısı grubu, bir milyondan fazla Kia aracını, aracın plaka numarasından başka bir şey bilmeden uzaktan kilitleyebileceklerini, kilidini açabileceklerini, çalıştırabileceklerini, kapatabileceklerini ve coğrafi konumlarını belirleyebildiklerini ortaya çıkardı. Araştırmacılar ayrıca bir aracın kornasını, ışıklarını ve kamerasını da etkinleştirebildiler.
Güvenlik açığı araçların kendisinde değil, Kia’nın çevrimiçi altyapısındaydı (Kia, araştırmacılar bulgularını yayınlamadan önce güvenlik açığını giderdi).
Kısacası araştırmacılar Kia kılığına girdi bayiler çevrimiçi bir Kia web portalını kullanırken ve plaka numaraları yoluyla ayrı ayrı gösterilebilen Araç Kimlik Numarasını girerek, güvenlik araştırmacılarının kontrol ettiği yeni bir hesaba uzaktan çalıştırma ve coğrafi konum gibi belirli özellikleri atayabiliyorlardı.
Araştırmacı Sam Curry, Wired’a yaptığı açıklamada, güvenlik açığının araçların herhangi bir direksiyon sistemine, hızlanmasına veya frenlenmesine erişim sağlamamasına rağmen yine de büyük bir gizlilik ve güvenlik riski oluşturduğunu söyledi:
“Biri trafikte yolunuzu keserse, plakasını tarayabilir ve istediğiniz zaman nerede olduğunu öğrenebilir ve arabasına zorla girebilirsiniz. Eğer bunu Kia’nın dikkatine sunmamış olsaydık, birisinin plakasını sorgulayabilen herhangi biri onu gizlice takip edebilirdi.”
Hava fritözünüze tatlı sözler fısıldıyor
Akıllı telefonlarımızın ürkütücü derecede alakalı reklamlar sunmak için yüz yüze konuşmalarımızı dinlediğine dair modern bir şehir efsanesi var ve bunun doğru olduğuna dair bir kanıt olmasa da, yakınlarda şüphe uyandıran birkaç hikaye olduğu kesin.
Örneğin meraklı hava fritözlerinin durumunu ele alalım.
5 Kasım’da Birleşik Krallık’taki bir tüketici hakları grubu “Hangisi?” TV’ler, akıllı saatler vb. gibi akıllı cihazların çeşitli kategorilerine ilişkin yayınlanmış araştırmalar ve üç hava fritöz modeli hakkında keşfettikleri şeyler birçok kişiyi şaşırttı.
Xiaomi Mi Akıllı Hava Fritözü, Cosori CAF-LI401S ve kendi adını taşıyan Aigostar’ı test eden araştırmacılar, Android için ilgili hava fritöz mobil uygulamalarının şaşırtıcı miktarda bilgi istediğini keşfettiler:
“[As] Müşterilerin kesin konumunu bilmenin yanı sıra, her üç ürün de belirli bir neden olmaksızın kullanıcının telefonuna ses kaydetmek için izin istedi.”
Xiaomi hava fritözü için bağlantılı uygulama “Facebook, Pangle (TikTok for Business’ın reklam ağı) ve Çinli teknoloji devi Tencent’in (kullanıcının konumuna bağlı olarak) takipçilerine bağlandı.” Aigostar hava fritözü için hesap oluştururken, bağlı uygulama kullanıcılardan cinsiyetlerini ve doğum tarihlerini açıklamalarını istedi ancak bunun neden gerekli olduğunu belirtmedi. Ancak bu istek reddedilebilir. Araştırmacılar, Aigostar uygulamasının da tıpkı Xiaomi uygulaması gibi kişisel verileri Çin’deki sunuculara gönderdiğini ancak bu veri paylaşım uygulamasının şirketlerin gizlilik politikalarında açıklığa kavuşturulduğunu yazdı.
Raporda yer alan şirketler, Hangi?’nin karakterizasyonu konusunda geri adım attı ve bir Xiaomi temsilcisi şunu açıkladı: “Xiaomi Home uygulamasında ses kaydetme izni, doğrudan sesli komutlar ve görüntülü sohbet yoluyla çalışmayan Xiaomi Akıllı Hava Fritözü için geçerli değildir. ” Cosori’nin bir temsilcisi, araştırmacıların Hangisinde yaşadığı hayal kırıklığını dile getirdi? şirketle “özel test raporlarını” da paylaşmadı.
O halde gerçek ortada bir yerde olabilir. Söz konusu hava fritöz mobil uygulamaları, çalışması için gerekenden daha fazla bilgi talep edebilir ancak bunun nedeni, uygulamaların birçok farklı ürün türünün ihtiyaçlarını aynı anda karşılamaya çalışması olabilir.
Bir diş fırçası uzun hikayesi
Haydi telefon oyunu oynayalım: Bir İsviçre gazetesi bir siber güvenlik uzmanıyla bir konu hakkında röportaj yapıyor varsayımsal siber saldırı ve günler sonra düzinelerce haber kaynağı bu varsayımın gerçek olduğunu bildirdi.
Bu hikaye gerçekten de yaşandı ve eğer aynı zamanda bir miktar mizah da içermeseydi çok daha rahatsız edici olurdu ve bunun nedeni, masalın “gerçeğe” dönüşmesinin, diş fırçaları tarafından başlatılan büyük bir siber saldırıyı içermesiydi.
Şubat ayında bir İsviçre gazetesi makalesinde “Dağıtılmış Hizmet Reddi” saldırısı veya DDoS saldırısı hakkında bir anekdot yer alıyordu. DDoS saldırıları, belirli bir web sayfasına, söz konusu web sayfasını kısa süreliğine bunaltmanın ve kapatmanın bir yolu olarak çok sayıda bağlantı isteği (normal internet trafiği gibi) göndermeyi içerir. Ancak DDoS saldırılarıyla ilgili ilginç olan şey, bu istekleri gerçekleştirmek için bir dizüstü bilgisayara veya akıllı telefona ihtiyaç duymamalarıdır; ihtiyaç duydukları tek şey internete bağlanabilen bir cihazdır.
İsviçre gazetesinin hesabında bu cihazlar 3 milyon diş fırçasıydı. Makalenin orijinal dilinden Almancaya çevrilmiş hali şöyledir:
“Evinde, banyoda ama büyük ölçekli bir siber saldırının parçası. Elektrikli diş fırçası Java ile programlanmıştır ve suçlular, diğer 3 milyon diş fırçasına olduğu gibi, fark edilmeden ona da kötü amaçlı yazılım yüklemiştir. Tek bir komut yeterli oluyor ve uzaktan kumandalı diş fırçaları eş zamanlı olarak bir İsviçre şirketinin web sitesine erişebiliyor. Site çöker ve dört saat boyunca felç olur. Milyonlarca dolarlık zarar meydana geliyor.”
Senaryonun tamamının “Hollywood’dan alınmış” olabileceğine dikkat çekilen makale, saldırının neden bu kadar korkutucu olduğunu şöyle bağlamlandırıyor: “Gerçekten oldu.”
Ama kesinlikle öyle değildi.
Makalede saldırıyla ilgili hiçbir ayrıntı yoktu, dolayısıyla herhangi bir şirketin adı belirtilmedi, diş fırçası modeli belirtilmedi ve herhangi bir kuruluştan yanıt gelmedi. Ancak sayısız haber kaynağı orijinal makaleyi bir araya getirdiği için bunların hiçbiri önemli değildi. yaptım mesele tüm olayın viralliğiydi. Görünüşe göre herkesin internete bağlanmak için hiçbir nedeni olmadığı konusunda hemfikir olduğu bir cihaz vardı ve – şuna bakar mısınız – büyük sonuçlara yol açtı.
Gerçekte ise sonuçlar gerçek oldu.
Bu tatil sezonunda en aptalca, en gereksiz IoT cihazlarından daha iyisini yapalım ve onun yerine önemli olanla bağlantı kuralım.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.