Herhangi Bir IoT Cihazı Hacklenebilir, Hatta Izgaralar Bile


Gittikçe daha fazla ev aleti ve cihazı İnternet’e bağlanabiliyor hale geldikçe, aynı zamanda potansiyel sömürüye karşı savunmasızIzgara yapmayı ciddiye alan kişiler artık mangal keyfinin mahvolması ihtimaliyle karşı karşıya kalıyorlar. Bunun nedeni yanlış et parçasını seçmeleri veya ideal sıcaklığı korumaya yeterince dikkat etmemeleri değil, ızgaralarının bozulması.

Bishop Fox’tan Nick Cerne, ızgara ve tütsüleme konusunda yaygın olarak tanınan bir marka olan Traeger ızgaralarının belirli tiplerinde birden fazla güvenlik açığı keşfetti. Etkilenenler, ızgaranın mobil bir uygulama aracılığıyla kontrol edilmesini sağlayan gömülü bir cihaz olan Traeger Grill D2 Wi-Fi Controller ile birlikte geliyor. Güvenlik açıkları, uzak bir saldırganın ızgaraya, seri numarası dahil ızgara hakkında ayrıntılar elde etmek veya tamamen kapatmak gibi komutlar vermesine olanak tanıyabilir.

Herhangi bir ızgaranın neden mobil uygulamaya ihtiyacı olduğu sorusunu bir kenara bırakırsak, bu tür bir müdahale çoğu insanın ızgara yaparken beklediği bir şey değildir. 7.1 (yüksek) şiddet puanına sahip ilk güvenlik açığını ele alalım; bu, ızgarayı kaydetmekten sorumlu API’de yetersiz yetkilendirme kontrol sorunudur. Bishop Fox’un araştırma ekibi, ızgarayı (araştırma ekibinde olmayan bir çalışana ait) uzaktan kapatabildi ve ayrıca sıcaklığı artırabildi. Bu durumda, araştırmacılar sıcaklığı 165 Fahrenheit dereceden 500 Fahrenheit dereceye değiştirdiler.

Bishop Fox ekibi bir araştırma notunda, “Lezzetli bir yemeğe dönüştürülmek yerine, tofu kararmış, yenmeyen bir çıtıra dönüştü,” diye yazdı. “Yetkilendirme kontrollerinin eksikliği, pişirme döngüsünün geri kalanında sıcaklığı maksimum 500 derece Fahrenheit’e ayarlayarak Traeger ızgara sahiplerini kızdırmak için kullanılabilir ve gözetimsiz pişirilen yiyecekleri mahvedebilir.”

Araştırmacılar ızgarayı bekleme modundan uyandırmayı, sıcaklığı değiştirmeyi ve kapatmayı başarmış olsalar da, ızgarayı uzaktan yakmanın bir yolunu belirleyemediler. Ancak bu araştırmanın sonucu, Nesnelerin İnterneti’nin güvenliğini sağlamak için kritik öneme sahip bir şeyi vurguluyor: sorunu düzeltme yeteneği.

Bu durumda, Traeger ızgaraları için otomatik aygıt yazılımı güncellemeleri yapar. Bu, yetersiz yetkilendirme kontrolleri açığından etkilenen ve İnternet’e bağlı tüm Traeger ızgaralarının, ızgara sahibinin herhangi bir işlem yapmasına gerek kalmadan zaten güncellendiği anlamına gelir. Nesnelerin İnterneti ile ilgili zorluk her zaman güvenlik açıkları bulunduğunda ne yapılacağı olmuştur; kullanıcılar güncellemeleri indirip daha sonra bunları buzdolabı, kamera ve bu durumda ızgara gibi cihazlara nasıl yükleyeceklerini anlamayacaktır. Traeger’ın görevi ızgara sahiplerinin yapmak zorunda kalmaması için halletmesi kritik önem taşır. Daha fazla üreticinin bunu yapmak için güncelleme mekanizmaları geliştirmesi gerekir kullanıcıların kullanımı için güvenli İnternete bağlanabilen bu sistemlerden çok sayıda var.

Ancak dikkat edilmesi gereken bir nokta, olası bir saldırganın öncelikle hedef ızgaranın benzersiz 48 bit tanımlayıcısına ihtiyaç duyacağıdır. Bu, saldırgan havuzunu yakındaki bir taneyle sınırlar; ızgara uygulama ile eşleştirilirken ağ trafiğini yakalayabilecek kadar yakın veya ızgaranın üzerinde bulunan bir çıkartmadaki QR kodunu tarayabilecek kadar yakın. Bu, Nesnelerin İnternetine yönelik olası saldırılar hakkında ikinci şeyi vurgular: cihazlarınıza ne olduğunu takip etmek, ağı misafirlerden korumak ve cihazların fiziksel kontrolünü sürdürmek, istismar girişimlerini engellemeye yardımcı olur.

“Piskopos Fox ayrıca, kullanılmadığında ızgaraları kapatmak için fiziksel güç düğmesinin kullanılmasını öneriyor.” Bu, her açıdan iyi bir tavsiye gibi görünüyor.





Source link