Bitdefender ve NETGEAR’a göre Nesnelerin Ä°nterneti (IoT) cihazlarının artışı, çok çeÅŸitli güvenlik ve gizlilik zorluklarını da beraberinde getirdi.
Rapor, 12 ay boyunca 3,8 milyon ev ve 50 milyon IoT cihazının oluşturduğu 9,1 milyar güvenlik olayının küresel telemetrisine dayanıyor.
Televizyonlarda, akıllı prizlerde, DVR’larda yüksek güvenlik açıkları bulundu
Akıllı ev aletlerinden endüstriyel ekipmanlara kadar dünya çapında 15 milyardan fazla bağlı cihazla saldırı yüzeyi önemli ölçüde genişledi. ThroughTek Kalay platformunda bulunanlar gibi IoT çerçevelerindeki güvenlik açıkları milyonlarca kullanıcıyı olası gizlilik ihlallerine maruz bırakıyor.
Ortalama bir evde artık 21 baÄŸlı cihaz bulunuyor ve ev aÄŸlarına günde 10’dan fazla saldırı gerçekleÅŸiyor (geçtiÄŸimiz yıl bu sayı 8 idi).
2023’te en fazla güvenlik açığı televizyon setlerinde, akıllı prizlerde ve dijital video kayıt cihazlarında keÅŸfedildi. Televizyonlardaki güvenlik açıkları oldukça yaygındır, bunun baÅŸlıca nedeni uzun ömürlü olmaları ve üreticilerin cihazlar hala kullanımdayken desteÄŸi kesme eÄŸilimleridir.
Akıllı fiÅŸler ve dijital video kayıt cihazları (DVR’ler), ilgili cihaz popülasyonlarına göre önemli güvenlik açığı sayıları sergiler. Akıllı fiÅŸler akıllı ev kurulumlarına uygun eklemeler olarak hizmet ederken, güvenlik açığı sayıları bu görünüşte zararsız cihazlardaki olası güvenlik zayıflıklarını vurgular.
Benzer ÅŸekilde, DVR’lardaki güvenlik açıkları, hem konut hem de ticari ortamlarda yaygın olarak kullanılan video gözetim sistemlerinin güvenliÄŸi konusunda endiÅŸelere yol açmaktadır. Bu bulgular, üreticilerin bu tür cihazların tasarımında ve üretiminde güvenliÄŸe öncelik vermeleri gerektiÄŸini vurgulamaktadır, çünkü bu cihazlar modern baÄŸlantılı ortamlarda önemli roller oynamaktadır.
BaÅŸka bir Bitdefender araÅŸtırması, katılımcıların %78,3’ünün hassas iÅŸlemler için mobil cihazlar kullandığını ortaya koyuyor. Ancak, %44,5’i herhangi bir mobil güvenlik çözümü kullanmıyor ve bu da onları kötü amaçlı yazılımlara, kimlik avına ve veri ihlallerine karşı savunmasız bırakıyor.
Nesnelerin İnterneti güvenliği yasalaşacak
IoT (güvenlik eksikliÄŸi) ile iliÅŸkili risklerle mücadele etmek için ABD hükümeti, tüketicilerin güçlü kimlik bilgileri, düzenli güncellemeler ve veri koruması gibi katı güvenlik standartlarını karşılayan IoT cihazlarını belirlemesine yardımcı olan bir sertifika olan Cyber ​​Trust Mark’ı tanıttı. Bu güven iÅŸareti, tüketicilerin güvenlik düşünülerek oluÅŸturulmuÅŸ IoT ürünlerini seçmesine yardımcı olacak, ancak uygulama hala çok uzakta. O zamana kadar, IoT güvenliÄŸi bireysel bir sorumluluk olarak kalacak.
Belirli endüstriler veya ürün kategorileri daha iyi güvenlik standartlarına ve uygulamalarına uymaktadır ve bu da daha düşük güvenlik açığı sayılarıyla sonuçlanmaktadır. ÖrneÄŸin, “Ev Otomasyonu” altında kategorilendirilen cihazlar, ev otomasyonu endüstrisindeki standartlaÅŸtırılmış güvenlik protokolleri ve sertifikaları nedeniyle diÄŸer kategorilere kıyasla nispeten daha az güvenlik açığına sahip olabilir.
Güvenlik açıklarının sayısı cihaz üreticilerinin uygulamalarına göre de değişir. Tasarım, geliştirme ve yama süreçlerinde güvenliğe öncelik veren üreticilerin cihazları, güvenliğe daha az odaklanan üreticilerin cihazlarına kıyasla daha düşük güvenlik açığı sayıları gösterebilir.
Tüm cihaz türlerinde, hizmet reddi (DoS) saldırıları en yaygın güvenlik açığı türü gibi görünüyor ve TV setleri (%36,7), akıllı prizler (%22,2), DVR’ler (%17,7), yönlendiriciler (%13,4) ve set üstü kutular (%6,9) için önemli yüzdeler gözlemlendi. Bu, DoS güvenlik açıklarının çeÅŸitli cihaz kategorilerinde yaygın olduÄŸunu ve kullanılabilirlikleri ve iÅŸlevsellikleri için önemli riskler oluÅŸturduÄŸunu gösteriyor.
Bellek bozulması güvenlik açıkları, taşma ve hizmet reddi kadar yaygın olmasa da, bellek yönetim sistemlerindeki zayıflıkları istismar etme potansiyelleri ve keyfi kod yürütme saldırılarına katkıları göz önüne alındığında, önemli bir endişe olmaya devam etmektedir. Bellek bozulması güvenlik açıklarını azaltmak, istismarı önlemek için kapsamlı kod incelemesi, girdi doğrulaması ve bellek koruma mekanizmaları gerektirir.
IoT istismar giriÅŸimlerinin %99’u daha önce bilinen CVE’lere dayanır (en son yazılımı yamalamanın ve çalıştırmanın önemini vurgular). Saldırıların yalnızca küçük bir kısmı zayıf parolaları veya düz metin kimlik doÄŸrulamasını kullanır.