Nesnelerin İnterneti’nin (IoT) kolaylık ve verimlilik vaat ettiği bir çağda, akıllı ev teknolojisinin hızla benimsenmesi gizli güvenlik risklerini de beraberinde getiriyor. Akıllı buzdolaplarından ampullere kadar IoT cihazları, evlerimizi akıllı telefonlar aracılığıyla kontrol edilen bağlantılı merkezlere dönüştürdü. Ancak Philips akıllı aydınlatma ürünlerindeki güvenlik açıklarına ilişkin yakın tarihli bir rapor, bilgisayar korsanlarının ev ağlarına yetkisiz erişim sağlamak için bu cihazları ne kadar kolay kullanabileceğini ortaya koyuyor ve bu da günlük teknolojinin güvenliğine ilişkin endişeleri artırıyor.
CERT-In’in Uyarısı: Philips Akıllı Aydınlatma Ürünlerindeki Güvenlik Açıkları
25 Ekim 2024’te Hindistan’ın Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), Philips akıllı aydınlatma ürünlerinde (CIVN-2024-0329) yüksek önemde bir güvenlik açığı yayınladı. Tavsiye belgesinde, hassas Wi-Fi kimlik bilgilerinin cihazların donanım yazılımında düz metin olarak saklanmasıyla ilişkili riskler vurgulandı. Etkilenen cihazlar arasında tamamı 1.33.1’den önceki donanım yazılımı sürümlerini kullanan Philips Smart Wi-Fi LED Batten, LED T Beamer ve çeşitli Smart Bulb ve T-Bulb modelleri yer alıyor.
Philips’in Wi-Fi özellikli modelleri gibi akıllı ampuller, teknoloji meraklısı tüketiciler arasında popüler hale geldi. Bu ampuller evdeki Wi-Fi ağlarına bağlanarak kullanıcıların parlaklık, renk ve diğer ayarları dünyanın her yerinden bir telefon uygulaması aracılığıyla kontrol etmelerine olanak tanıyor. Yapılandırma basittir: Kurulumdan sonra ampul, kurulum moduna girmek için birden çok kez açılıp kapatılabilir, böylece cihaz, yapılandırma için bir akıllı telefona bağlanan geçici bir Wi-Fi erişim noktasına dönüştürülür. Ancak bu kullanım kolaylığı aynı zamanda bilgisayar korsanları için bir giriş noktası da sağlıyor.
Bir bilgisayar korsanı bu cihazlara fiziksel erişim sağlarsa, yazılımı çıkarabilir ve ikili kodu analiz ederek hassas veriler elde edebilir. Wi-Fi kimlik bilgilerinin düz metin olarak saklanması yalnızca kurulum işlemini kolaylaştırmakla kalmaz, aynı zamanda bu kimlik bilgilerine potansiyel saldırganların kolayca erişmesini de sağlar. Wi-Fi kimlik bilgileri alındıktan sonra bilgisayar korsanları ev ağına bağlanarak diğer bağlı cihazlara ve özel bilgilere erişim sağlayabilir. CERT-In, Philips akıllı aydınlatma ürünlerindeki bu güvenlik açığını azaltmak için kullanıcıların cihaz yazılımlarını 1.33.1 sürümüne yükseltmelerini şiddetle tavsiye ediyor.
Zayıf Kimlik Doğrulama ve Ağ Kimliğine Bürünme: İzinsiz Girişin Tarifi
Philips akıllı ampulleri gibi IoT ampullerindeki güvenlik zayıflıklarını inceleyen bir çalışma, kurulum sürecinde daha fazla güvenlik açığını ortaya çıkardı. Konfigürasyon moduna girerken ampulün güvenli bir kimlik doğrulama standardından yoksun olması, saldırganların ampul yerine kullanıcının yanlışlıkla bağlanabileceği sahte bir erişim noktası oluşturmasına olanak tanıyor. “Ortadaki adam” müdahalesi olarak bilinen bu yetkisiz erişim, saldırganların kullanıcının uygulaması ile cihaz arasındaki iletişime müdahale etmesine olanak tanır.
Kurulum işlemi sırasında cihazların kimliğini doğrulamak için kullanılan yöntem de zayıftır. Ampulün donanım yazılımına gömülü bir güvenlik kodu olan sağlama toplamı, özellikle yalnızca 32 bit olduğundan, derleme ve kaba kuvvet yoluyla elde edilebilir. Mevcut bilgi işlem gücüyle, bu kodu kırmak ortalama iki saatten biraz fazla sürüyor; bu da saldırganların cihazı taklit etmesine ve Wi-Fi şifresi ve üretici portalında oturum açma bilgileri gibi kullanıcı kimlik bilgilerine müdahale etmesine olanak tanıyor.
Kimlik doğrulama sürecinin güvenlik açığının ötesinde, çalışma aynı zamanda ampul ile uygulama arasındaki iletişim için kullanılan şifrelemedeki zayıflıklara da dikkat çekti. Philips akıllı ampuller, verileri korumak için bir şifreleme algoritması olan AES-128-CBC’yi kullanır. AES-128-CBC genel olarak güvenilir olsa da bu cihazlarda uygulanma şekli potansiyel ihlallere kapı açmaktadır. Kararlı saldırganlar potansiyel olarak şifrelenmiş verileri çözebilir ve böylece ampul ile uygulama arasında gönderilen hassas bilgilere erişebilir.
Kimlik Bilgisi Doldurma ve Zayıf Nesnelerin İnterneti Güvenliğinin Dalgalanma Etkisi
Saldırganlar, güvenliği ihlal edilmiş bir cihazdan Wi-Fi kimlik bilgilerini başarıyla çıkardıklarında, potansiyel olarak “kimlik bilgisi doldurma” saldırıları gerçekleştirebilirler. Kimlik bilgisi doldurma, birçok kullanıcının aynı şifreyi platformlar arasında yeniden kullanması nedeniyle, birden fazla hesaba erişmeyi denemek için bir dizi çalıntı kimlik bilgisinin kullanılmasını içerir. Bu nedenle, Philips akıllı ampulünü ele geçiren ve kimlik bilgilerini ele geçiren bir bilgisayar korsanı, bu bilgiyi kullanıcının sosyal medyasına, e-postasına ve hatta kullanıcı benzer şifreleri kullanıyorsa finansal hesaplarına erişmek için kullanabilir.
Philips akıllı ampul örneği, IoT güvenliğindeki daha geniş bir soruna ışık tutuyor. Bir cihazdaki zayıf güvenlik önlemleri, aynı ağa bağlı bir dizi diğer sistemi etkileyebilir.
ZigBee Protokolündeki Güvenlik Açıkları: Philips Hue Örneği
İncelenecek tek IoT aydınlatma ürünleri Philips akıllı ampuller değil. Philips Hue akıllı ampullerin önceki güvenlik analizi, IoT cihazlarını uzaktan yönetmek için kullanılan ZigBee protokolündeki güvenlik açıklarını tespit etti. CVE-2020-6007 olarak tanımlanan kusur, bilgisayar korsanlarının ampul üzerinde kontrol sahibi olmasına ve CVSS ölçeğinde 7,9 önem derecesi ile yüksek riskli bir güvenlik açığına işaret eden kötü amaçlı yazılım yüklemesine olanak tanıdı.
ZigBee’nin protokol güvenlik açığı, bilgisayar korsanlarının akıllı ampul aracılığıyla kullanıcının ağına sızmasına, kötü amaçlı yazılım yaymasına veya ağa bağlı diğer IoT cihazlarından yararlanmasına olanak sağladı. Bu olay, bilgisayar korsanlarının daha büyük ev ağlarına sızmak için bir cihazın zayıflığından yararlanabilmesi nedeniyle IoT aydınlatma ürünlerindeki daha geniş güvenlik endişelerini vurgulamaktadır.
Güvenli IoT Ekosistemine Doğru Adımlar
Akıllı aydınlatmanın ve diğer IoT cihazlarının rahatlığı inkar edilemezken, bu faydalar potansiyel güvenlik zayıflıkları pahasına geliyor. Kullanıcılar için firmware güncellemelerini yüklemek, her platform için benzersiz şifreler kullanmak ve Wi-Fi ağlarını güçlü şifrelerle güvence altına almak gibi proaktif adımları atmak çok önemli. Öte yandan üreticilerin sağlam güvenlik standartlarını benimsemeleri ve cihaz güvenliğini en başından itibaren bir öncelik haline getirmeleri gerekiyor.
Philips kullanıcıları için CERT-In, yetkisiz erişim riskini azaltmak amacıyla etkilenen tüm cihazların donanım yazılımının 1.33.1 sürümüne yükseltilmesini önerir. Philips ve diğer IoT üreticilerinden tüketicileri bu güvenlik açıklarından korumak için güvenlik önlemlerini artırmaları isteniyor.
İlgili