Birden fazla güvenlik açığı, ev için bir dizi akıllı ürünü etkiliyor.
Popüler ve oldukça ucuz bir garaj kapısı kontrolörü haberlerde dalgalanıyor ve bu iyi bir şekilde değil. Ars Technica, Nexx tarafından oluşturulan 80 dolarlık cihazların, evinizin güvenliğini tehlikeye atabilecek bir dizi güvenlik sorunundan muzdarip olduğunu bildirdi.
Araştırmacı Sam Sabetan’ın Medium gönderisi ayrıntıları ortaya koyuyor.
2022’nin sonunda Sam, Nexx akıllı cihaz serisinde bir “bir dizi kritik güvenlik açığı” keşfetti. Bu sorunlar yalnızca garaj kapısı açıcılarını değil, aynı zamanda akıllı priz anahtarlarını ve alarmları da etkiledi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile birlikte çalışarak, sonunda beş CVE atandı. Danışma belgesine göre, bu güvenlik açıklarından başarılı bir şekilde yararlanılması, bir saldırganın hassas bilgiler almasına veya cihazları ele geçirmesine izin verebilir ve saldırıları gerçekleştirmek için büyük miktarda teknik beceri gerekmez.
Geliştiriciler sabit kodlanmış parola hatası yapmaya devam ediyor
Buradaki sorunlardan bazıları nelerdir? En büyüklerinden biri, Nexx sunucularıyla konuşmak için sabit kodlanmış kimlik bilgilerinin kullanılmasıdır. Bunun anlamı, ürünle birlikte gönderilen şifrenin asla değiştirilemeyeceğidir. Birisi çevrimiçi bir listeden veya kurbanın sosyal mühendislik yoluyla ne olduğunu öğrenirse, oyun gerçekten sona erer.
Ars Technica’nın belirttiği gibi, şifrelenmemiş e-posta adreslerini yayınlayan denetleyicilerin yanı sıra kapıları açmak veya kapatmak için gereken mesajların yanı sıra, bu, yetkin bir saldırgan için oldukça kolay bir kazanç anlamına gelir. Gerçekten de, isterlerse birileri potansiyel olarak garaj kapınızı gezegenin diğer tarafından açabilir. Sabetan, bölgede 40.000’den fazla cihazın hem ticari hem de konut kullanıcılarının bu sorundan etkilenebileceğini tahmin ediyor.
Ek güvenlik açıkları arasında, saldırganların nihayetinde Nexx akıllı alarm denetleyicisinin çalıştırdığı markalı ev alarm sistemini kontrol etmesine olanak tanıyan akıllı alarm kimliğine bürünme yer alır.
Başka bir yerde, bir saldırganın bir ev alarmının tüm kontrolünü sahibinin elinden almasına izin vererek, süreçte tam erişim sağlamasına izin verebilecek akıllı alarm ele geçirme özelliğimiz var.
Önerilen düzeltme: bu cihazları değiştirin
Bunların hepsi çok kötü. Daha da kötüsü, Sabetan, Nexx’in “Kendimden, Ulusal Güvenlik Departmanından ve medyadan gelen iletişim girişimlerini sürekli olarak göz ardı ettim.”. Şirketin sorunu çözmek isteyip istemediğini veya çözemeyeceğini merak etmek gerekir. Bunu akılda tutarak, Sabetan’ın sahip olduğu tek gerçek tavsiye, telefonunuzun terk edilmiş bir uygulamayı çalıştırdığını fark ettiğiniz zamankiyle aynıdır. Fiziksel evinizin dijital dünyayla iç içe geçme şeklini yeniden düzenlemeye başlamak ne kadar acı verici olsa da, her şeyi söküp atmanın ve başka ev güvenlik çözümleri aramanın zamanı geldi.
Sabetan’ın tüm Nexx ürünlerini evinizden veya iş yerinizden kaldırma tavsiyesi kadar ileri gitmeyen CISA azaltımları sayfasından:
- Tüm kontrol sistemi cihazları ve/veya sistemleri için ağ maruziyetini en aza indirin ve bunların İnternet’ten erişilebilir olmadığından emin olun.
- Güvenlik duvarlarının arkasındaki kontrol sistemi ağlarını ve uzak cihazları bulun ve bunları iş ağlarından izole edin.
- Uzaktan erişim gerektiğinde, Sanal Özel Ağlar (VPN’ler) gibi güvenli yöntemler kullanın, VPN’lerin güvenlik açıkları olabileceğini ve mevcut en güncel sürüme güncellenmesi gerektiğini kabul edin. Ayrıca, VPN’nin yalnızca bağlı cihazları kadar güvenli olduğunu kabul edin.
- CISA, kuruluşlara savunma önlemlerini uygulamadan önce uygun etki analizi ve risk değerlendirmesi yapmalarını hatırlatır.
Nesnelerin İnterneti tehlikeli bir yer olabilir ve evlerimizi emanet ettiğimiz bu araçlarda etkili güvenlik olmaması ideal olmaktan uzaktır. Evinize güç sağlamak için kullanılan cihazlarınız ve uygulamalarınız, alarmlarınız, kapılarınız, pencereleriniz veya başka herhangi bir şeyiniz varsa, şimdi bu şifrelerin sabit kodlanmış olup olmadığını kontrol etmenin zamanı geldi.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE