Güvenlik araştırmacısı Sergei Volokitin, büyük bir siber güvenlik konferansındaki bir sunum sırasında Xiaomi cihazlarında şirketin S3 akıllı saati de dahil olmak üzere donanım güvenlik açıkları hakkında bulgular sundu.
Araştırma, araştırmacıların ve satıcıların cihaz güvenlik açıklarını tanımlamak ve ele almak için birlikte çalıştıkları ortak bir güvenlik etkinliğinin bir parçası olarak gerçekleştirildi.
Güvenlik araştırması, konferansın Kasım 2024’teki “Hard PWN” etkinliği sırasında gerçekleştirildi ve burada bağımsız güvenlik araştırmacıları çeşitli tüketici elektroniğini potansiyel güvenlik açıkları için incelemek için bir araya geldi.
.png
)
Her yıl Hollanda ve Amerika Birleşik Devletleri’nde gerçekleşen etkinlik, donanım güvenliğini artırmaya odaklanan ortak bir ortamda güvenlik uzmanlarını ve cihaz üreticilerini bir araya getiriyor.
Çok günlük etkinlik sırasında, araştırmacılara donanım analizlerini yürütmek için lehimleme ütüler, ısı tabancaları ve osiloskoplar da dahil olmak üzere profesyonel sınıf ekipmanları sağlandı.
Biçim, güvenlik açıklarını belirlemek ve cihaz güvenliğini artırabilecek bulguları raporlamak için güvenlik uzmanlarının doğrudan satıcı temsilcileriyle işbirliği yapmalarını sağlar.
Xiaomi akıllı saat hacklendi
2024 etkinliğinde özellikle Mi Band fitness izleyicileri, akıllı saatler, kulaklıklar ve diğer tüketici elektroniği dahil Xiaomi ürünleri yer aldı. Önceki yıllar, Meta’s Oculus ürünleri ve Google’ın Nest ekosistemi de dahil olmak üzere büyük teknoloji şirketlerinden gelen cihazların benzer işbirlikçi güvenlik sınavlarını gördü.
Düşük seviyeli güvenlik analizi konusunda uzmanlaşmış olan ve hata ödül çalışması ve güvenlik danışmanlığı ile birlikte bağımsız güvenlik araştırması yapan Sergei Volokitin, etkinlik sırasında dikkatlerini iki temel Xiaomi cihazına odakladı.
Başlangıçta bir açık hava kamera sistemini inceleyen araştırmacı, kaydedilen görüntülerin cihazın dosya sisteminde düz metin biçiminde saklandığını ve potansiyel saldırganların video içeriğini kurtarmasına izin verdiğini keşfetti.
Kamera analizi, şifrelenmemiş depolamanın ötesinde ek güvenlik endişeleri ortaya koydu. Araştırmacı, arka uç iletişim için kullanılan güvenlik belirteçlerinin cihazın dosya sistemindeki erişilebilir konumlarda saklandığını belirledi.
Bu jetonlar potansiyel olarak cihaza fiziksel erişim sağlayan saldırganlar tarafından kullanılabilir. Her iki güvenlik açıkları da Xiaomi’ye bildirildi ve şirket güvenlik bulgularını kabul etti.
Kamera araştırmasının ardından, güvenlik uzmanı Odağı Xiaomi’nin S3 akıllı saatine kaydırdı ve cihazın sınırlı üçüncü taraf uygulama desteği nedeniyle ilginç güvenlik zorlukları sunduğunu belirtti.
Araştırmacı, modern akıllı saatler, kısıtlı özelliklere sahip akıllı telefonlara benzer şekilde işlev görüyor, ancak yine de metin bildirimleri, takvim bilgileri, fitness ve sağlık metrikleri ve temassız işlemler için ödeme kartı verileri dahil olmak üzere hassas kullanıcı verilerini işliyor.
Akıllı saat ayrıca, Xiaomi akıllı telefonlarla hem ödeme hem de cihaz kilidini açma özellikleri için telefon entegrasyonu için Bluetooth bağlantısını ve NFC özelliklerini destekler. Hassas veri erişimi ve çoklu bağlantı seçeneğinin bu kombinasyonu, bu tür cihazları güvenlik araştırmaları için cazip hedefler haline getirir.
Araştırma, tüketici elektroniğinde donanım güvenliğinin, özellikle kullanıcıların günlük olarak taşıdığı ve kaybedebileceği veya çalınabileceği cihazlar için artan önemini vurgulamaktadır.
Güvenli ortamlardaki sabit cihazların aksine, giyilebilir teknoloji, taşınabilir doğası ve depoladığı ve süreçleri hassas kişisel verileri nedeniyle benzersiz güvenlik zorluklarıyla karşı karşıya.
HardPWN’de gösterilen işbirlikçi yaklaşım, üreticilerin kötü niyetli aktörlerin kullanmadan önce güvenlik açıklarını belirlemek ve ele almak için doğrudan güvenlik araştırmacıları ile birlikte çalıştığı proaktif güvenlik araştırmalarına yönelik bir endüstri eğilimini temsil etmektedir.
Bu ortaklık modeli, giderek daha bağlı olan bu cihazların tüm kullanıcılarına fayda sağlayan sorumlu açıklama ve güvenlik iyileştirmeleri sağlar.
WannaCry Fidye Yazılımı Saldırısı’nı durduran siber savaşçılarla tanışın => Ücretsiz Canlı Web Semineri