Bitdefender ve NETGEAR’a göre Nesnelerin İnterneti (IoT) cihazlarının artışı, çok çeşitli güvenlik ve gizlilik zorluklarını da beraberinde getirdi.
Rapor, 12 ay boyunca 3,8 milyon ev ve 50 milyon IoT cihazının oluşturduğu 9,1 milyar güvenlik olayının küresel telemetrisine dayanıyor.
Televizyonlarda, akıllı prizlerde, DVR’larda yüksek güvenlik açıkları bulundu
Akıllı ev aletlerinden endüstriyel ekipmanlara kadar dünya çapında 15 milyardan fazla bağlı cihazla saldırı yüzeyi önemli ölçüde genişledi. ThroughTek Kalay platformunda bulunanlar gibi IoT çerçevelerindeki güvenlik açıkları milyonlarca kullanıcıyı olası gizlilik ihlallerine maruz bırakıyor.
Ortalama bir evde artık 21 bağlı cihaz bulunuyor ve ev ağlarına günde 10’dan fazla saldırı gerçekleşiyor (geçtiğimiz yıl bu sayı 8 idi).
2023’te en fazla güvenlik açığı televizyon setlerinde, akıllı prizlerde ve dijital video kayıt cihazlarında keşfedildi. Televizyonlardaki güvenlik açıkları oldukça yaygındır, bunun başlıca nedeni uzun ömürlü olmaları ve üreticilerin cihazlar hala kullanımdayken desteği kesme eğilimleridir.
Akıllı fişler ve dijital video kayıt cihazları (DVR’ler), ilgili cihaz popülasyonlarına göre önemli güvenlik açığı sayıları sergiler. Akıllı fişler akıllı ev kurulumlarına uygun eklemeler olarak hizmet ederken, güvenlik açığı sayıları bu görünüşte zararsız cihazlardaki olası güvenlik zayıflıklarını vurgular.
Benzer şekilde, DVR’lardaki güvenlik açıkları, hem konut hem de ticari ortamlarda yaygın olarak kullanılan video gözetim sistemlerinin güvenliği konusunda endişelere yol açmaktadır. Bu bulgular, üreticilerin bu tür cihazların tasarımında ve üretiminde güvenliğe öncelik vermeleri gerektiğini vurgulamaktadır, çünkü bu cihazlar modern bağlantılı ortamlarda önemli roller oynamaktadır.
Başka bir Bitdefender araştırması, katılımcıların %78,3’ünün hassas işlemler için mobil cihazlar kullandığını ortaya koyuyor. Ancak, %44,5’i herhangi bir mobil güvenlik çözümü kullanmıyor ve bu da onları kötü amaçlı yazılımlara, kimlik avına ve veri ihlallerine karşı savunmasız bırakıyor.
Nesnelerin İnterneti güvenliği yasalaşacak
IoT (güvenlik eksikliği) ile ilişkili risklerle mücadele etmek için ABD hükümeti, tüketicilerin güçlü kimlik bilgileri, düzenli güncellemeler ve veri koruması gibi katı güvenlik standartlarını karşılayan IoT cihazlarını belirlemesine yardımcı olan bir sertifika olan Cyber Trust Mark’ı tanıttı. Bu güven işareti, tüketicilerin güvenlik düşünülerek oluşturulmuş IoT ürünlerini seçmesine yardımcı olacak, ancak uygulama hala çok uzakta. O zamana kadar, IoT güvenliği bireysel bir sorumluluk olarak kalacak.
Belirli endüstriler veya ürün kategorileri daha iyi güvenlik standartlarına ve uygulamalarına uymaktadır ve bu da daha düşük güvenlik açığı sayılarıyla sonuçlanmaktadır. Örneğin, “Ev Otomasyonu” altında kategorilendirilen cihazlar, ev otomasyonu endüstrisindeki standartlaştırılmış güvenlik protokolleri ve sertifikaları nedeniyle diğer kategorilere kıyasla nispeten daha az güvenlik açığına sahip olabilir.
Güvenlik açıklarının sayısı cihaz üreticilerinin uygulamalarına göre de değişir. Tasarım, geliştirme ve yama süreçlerinde güvenliğe öncelik veren üreticilerin cihazları, güvenliğe daha az odaklanan üreticilerin cihazlarına kıyasla daha düşük güvenlik açığı sayıları gösterebilir.
Tüm cihaz türlerinde, hizmet reddi (DoS) saldırıları en yaygın güvenlik açığı türü gibi görünüyor ve TV setleri (%36,7), akıllı prizler (%22,2), DVR’ler (%17,7), yönlendiriciler (%13,4) ve set üstü kutular (%6,9) için önemli yüzdeler gözlemlendi. Bu, DoS güvenlik açıklarının çeşitli cihaz kategorilerinde yaygın olduğunu ve kullanılabilirlikleri ve işlevsellikleri için önemli riskler oluşturduğunu gösteriyor.
Bellek bozulması güvenlik açıkları, taşma ve hizmet reddi kadar yaygın olmasa da, bellek yönetim sistemlerindeki zayıflıkları istismar etme potansiyelleri ve keyfi kod yürütme saldırılarına katkıları göz önüne alındığında, önemli bir endişe olmaya devam etmektedir. Bellek bozulması güvenlik açıklarını azaltmak, istismarı önlemek için kapsamlı kod incelemesi, girdi doğrulaması ve bellek koruma mekanizmaları gerektirir.
IoT istismar girişimlerinin %99’u daha önce bilinen CVE’lere dayanır (en son yazılımı yamalamanın ve çalıştırmanın önemini vurgular). Saldırıların yalnızca küçük bir kısmı zayıf parolaları veya düz metin kimlik doğrulamasını kullanır.