IoT görüntülü kapı zillerindeki yazılım hataları, yetkisiz erişim ve kontrol sağlayabilir. Geliştiriciler, üreticiler ve platform sağlayıcıları ortak bir güvenlik yükümlülüğünü paylaşır.
Her zaman açık KOBİ'ler tarafından kullanılanlar gibi kendin yap video kapı zilleri bilgisayar korsanları tarafından ele geçirilebilir. IoT sistemlerini geliştirirken yapılan hatalar beklenmedik sonuçlar doğurur. Saldırıya uğrayan sistemler, korumaları gereken gizliliği ihlal edebilir. Yalnızca güvenlik uzmanlarının, platform geliştiricilerin ve ürün üreticilerinin işbirliği dijital interkomları güvence altına alır.
Bulut tabanlı görüntülü interkomlar
Kullanıcılar, LifeShield gibi bulut tabanlı görüntülü interkomlar aracılığıyla kapıda ziyaretçilerle konuşur. Ayrıca siz yokken her yerde mevcut olan evden canlı görüntülere de güvenebilirsiniz. Ancak bu tür IoT teklifleri, siber suçlular için de potansiyel bir hedeftir. Bitdefender'ın güvenlik uzmanlarına göre, ADT kısa süre önce LifeShield sistemlerindeki güvenlik açıklarını kapatmak için 1.500 cihaza yama uyguladı. Bu, güvenliği çoğu zaman arzulanan çok şey bırakan bu tür IoT cihazlarının mevcut tehlikelerini göstermektedir.
IoT sistemlerinde açıklanan riskler
Kameranın yönetici şifresini açığa çıkarma
Zil, merkezi sunucuda kendisini MAC adresiyle tanımladı. Bulut platformu, zil sesini doğrulamak için temel bir prosedür kullandı. Kullanıcı adı başlangıçta "camera0" idi ve şifre kullanıcılara cihazı kurduklarında verildi. Yapılandırma aşamasında, sunucu ilgili mesajları kabul etti ve yanıtladı. Parola atanmadığı için yetkilendirme başlığını yok saydı. Ancak kurulum tamamlandıktan ve erişim kodu oluşturulduktan sonra bile, sunucu başlangıçta isteklere yanlış erişim verileriyle yanıt vermeye devam etti ve böylece cihaz için bilinen son erişim verilerini ifşa etti: En sonunda, bilgisayar korsanları yalnızca kameranın MAC'ini kullanabildi. Bu kapı zili deneyimi için yönetici parolasını oluşturmak için adres.
Web üzerinde düşmanca devralma
Akıllı, bulut tabanlı bir görüntülü kapı zili, İnternet için bir arabirimdir. Anlık görüntü alma veya bilgi arama gibi web sunucusunun bazı işlevleri kimlik doğrulama gerektirmiyordu. Yönetici arayüzü bir parola ile korunuyordu, ancak bu, önceki paragrafta açıklandığı gibi öğrenilebildi. Bu kimlik bilgileri ve arayüz aracılığıyla, bilgisayar korsanları komutlar verebilir ve komut enjeksiyonu yoluyla kök düzeyinde erişim elde edebilir.
Açık RTSP sunucuları
Kapı zili kamerası, görüntüleri 554 numaralı bağlantı noktası üzerinden bir Gerçek Zamanlı Akış Protokolü (RTSP) sunucusuna iletir. Bu yol, herhangi bir kimlik doğrulama biçimiyle korunmadı. Bu, yabancıların herhangi bir uyumlu medya oynatıcıyla ses-video yayınlarını oynatmasına izin verdi.
Bu tür saldırılar, küçük dükkanlar veya kat hisseli binalar, çok sayıda ev sahibi veya ortak ofisler gibi çok tarafın olduğu mülklerde özellikle tehlikelidir. Burada, aynı kablosuz ağdaki ve etkilenen sistemlerin menzilindeki diğer katılımcılar konuşmaları dinleyebilir.
Risk faktörü Akıllı Ev IoT
Diğer sabit güvenlik açıkları, akıllı binalarda tipik IoT tehditlerini gösterir:
- Bir erişim noktasındaki kimlik kontrolü şifrelenmemiş HTTP üzerinden gerçekleştirildiğinden, Amazon'un Ring Doorbell Pro kameraları için 2019'da zaten bir güvenlik güncellemesi bekleniyordu. Ulaşılabilecek bilgisayar korsanları erişim verilerini gözetlemiş olabilir.
- 2020'de August Smart Lock Pro uzmanları, akıllı kapı kilitlerinde güvenlik açıkları buldu. Depolama alanına erişim, casusluk, parolaların yanı sıra dolandırıcılık amacıyla veri veya kişisel bilgilerin çalınması gibi ilgili tüm olasılıklarla birlikte bir WiFi parolasının çalınmasını sağladı.
- Akıllı binalardaki bulut kontrollü ışıklar veya otomatik fonksiyonlar, ev sahipleri için başka bir risk oluşturuyordu.Hackerlar, akıllı prizler, ampul tutucular ve duvar anahtarları için ürün yazılımı güncelleme sürecini eWeLink platformu üzerinden kontrol etme ve kötü amaçlı güncellemeler enjekte etme fırsatı buldu. Yine sunucu tarafından anahtarlar için yanlış tasarlanmış bir kimlik doğrulama işlemi sorumluydu. Sonunda, bilgisayar korsanının tek ihtiyacı olan, saldırganların herhangi bir akıllı telefon kullanarak girebilecekleri geçerli bir kimlik numarasıydı.
Geliştirmedeki bu tür hatalar, standart olmayan IoT dünyasında yaygındır. Güvenlik uzmanları, burada sunulan vakaların aksine, üreticilerle erken bir aşamada, ancak genellikle yalnızca bir süre sonra ve bazen hiç temas kurmazlar.
Prensip olarak, internete bağlı herhangi bir nesne hacklenebilir. Bu nedenle kullanıcılar, IoT cihazlarını sıkı bir şekilde izlemeli ve örneğin yalnızca IoT donanımı için özel bir SSID kullanarak bunları mümkün olduğunca yerel veya konuk ağlardan izole etmelidir. Üreticiler, sistemlerini otomatik olarak güncelleyerek güvenliği artırır. Kullanıcılar da buna değer vermelidir. Ayrıca BT güvenlik hizmetleri ve yazılımları da IoT cihazlarını taramalıdır. Modern yönlendiriciler böylece IoT donanımı da dahil olmak üzere özel ağları koruyabilir.
Çeşitli teknik incelemeler, teknik raporlar ve belgeler çevrimiçi olarak mevcuttur:
- LifeShield Güvenlik Açığı (PDF)
- eWeLink hakkında bilgi (PDF)
- Ring Doorbell Pro Güvenlik Açıkları (PDF)
- Ağustos Smart Lock Pro güvenlik açıkları
Bitdefender.com'da daha fazla bilgi edinin
Bitdefender Hakkında Bitdefender, 500'den fazla ülkede 150 milyondan fazla sistemi koruyan siber güvenlik çözümleri ve antivirüs yazılımında dünya lideridir. 2001 yılında kuruluşundan bu yana şirketin yenilikleri düzenli olarak mükemmel güvenlik ürünleri ve özel müşteriler ve şirketler için cihazlar, ağlar ve bulut hizmetleri için akıllı koruma sağladı. Tercih edilen tedarikçi olarak Bitdefender teknolojisi, dünyanın dağıtılan güvenlik çözümlerinin yüzde 38'inde bulunur ve hem endüstri profesyonelleri, üreticiler hem de tüketiciler tarafından güvenilmekte ve tanınmaktadır. www.bitdefender.de