Yeni araştırmalar, operatörlerin gömülü cihaz verilerini yönetmek için sunduğu 5G platformlarında endişe verici güvenlik açıkları buldu. Yüksek hızları ve gelişmiş güvenlik korumalarıyla bilinen TRUE 5G WIRELESS verileri, dünya genelinde yavaş yavaş yayılıyor. Mobil teknolojinin yayılmasıyla birlikte, genişletilmiş hız ve bant genişliğini düşük gecikme bağlantılarıyla birleştiren 5G’nin en çok övülen özelliklerinden biri ortaya çıkmaya başladı. Ancak bu yükseltme, kendi potansiyel güvenlik açıklarıyla birlikte geliyor.
Akıllı şehir sensörlerinden tarım robotlarına kadar 5G uyumlu cihazların büyük bir kısmı, Wi-Fi’ın kolay erişilebilir veya mevcut olmadığı yerlerde internete bağlanabiliyor. Bireyler, fiber-optik internet bağlantılarını bir ev 5G alıcısıyla değiştirmeyi bile tercih edebilirler. Ancak, Çarşamba günü Las Vegas’taki Black Hat güvenlik konferansında sunulacak araştırmalara göre, operatörlerin IoT verilerini geliştiricilere erişilebilir kılmak için kurdukları arayüzler güvenlik açıklarıyla dolu. Bu açıklar, endüstriyi uzun vadede rahatsız edebilir.
Yıllarca mobil veri radyo frekansı standartlarındaki olası güvenlik ve gizlilik sorunlarını inceleyen Berlin Teknik Üniversitesi araştırmacısı Altaf Shaik, operatörlerin IoT verilerini geliştiricilere erişilebilir kılmak için sunduğu uygulama programlama arayüzlerini (API’ler) incelemek istedi. Bu API’ler, örneğin gerçek zamanlı otobüs izleme verileri veya bir depodaki stok bilgileri gibi verileri çekmek için kullanılan kanallardan oluşuyordu. Bu tür API’ler web hizmetlerinde yaygın olarak kullanılıyor, ancak Shaik, temel telekomünikasyon hizmetlerinde yaygın olarak kullanılmadıklarını belirtiyor. Shaik ve meslektaşı Shinjo Park, dünyanın dört bir yanındaki 10 mobil operatörün 5G IoT API’lerini incelediklerinde, hepsinde yaygın ama ciddi API güvenlik açıkları buldular ve bazıları, verilere yetkisiz erişim sağlamak veya ağdaki IoT cihazlarına doğrudan erişim sağlamak için kullanılmaya çok yatkın olduğunu belirtti.
Shaik, “Büyük bir bilgi boşluğu var. Bu, telekomünikasyonda yeni bir saldırı türünün başlangıcı,” dedi. Yabancı basına yaptığı açıklamalarda “Bir platform var ve API’lere erişim sağlıyor, belgeler mevcut, her şey mevcut ve buna ‘IoT hizmet platformu’ gibi bir şey deniyor. Her ülke her operatör bunu satacak ve satmıyorlarsa bile, sanal operatörler ve alt yükleniciler de var, bu yüzden bu tür platformları sunan bir sürü şirket olacak.” dedi.
IoT hizmet platformlarının tasarımları 5G standardında belirtilmemiş ve her operatör ve şirketin oluşturup dağıtmasına bağlıdır. Bu, kaliteleri ve uygulamalarında geniş bir varyasyon olduğu anlamına geliyor. 5G’ye ek olarak, yükseltilmiş 4G ağları da bazı IoT genişlemelerini destekleyebilir ve bu da IoT hizmet platformları ve bunları besleyen API’ler sunan operatör sayısını artırır.
Araştırmacılar, analiz ettikleri 10 operatörde IoT planları satın aldılar ve IoT cihazları için o veriye özel SIM kartları edindiler. Bu şekilde, ekosistemdeki diğer müşterilerle aynı erişime sahip oldular. API’lerin nasıl kurulduğundaki temel hatalar, zayıf kimlik doğrulama veya eksik erişim kontrolleri gibi, SIM kart tanımlayıcıları, SIM kart gizli anahtarları, hangi SIM kartı kimin satın aldığı kimliği ve fatura bilgilerini ortaya çıkarabilir. Bazı durumlarda, araştırmacılar diğer kullanıcıların büyük veri akışlarına erişebilir veya IoT cihazlarını tanımlayarak komutlar gönderip tekrarlayarak kontrol edememeleri gereken komutları kontrol edebilirler.
Araştırmacılar, test ettikleri 10 operatörle bildirim süreçlerinden geçtiler ve şimdiye kadar buldukları çoğu güvenlik açığının düzeltildiğini belirttiler. Shaik, IoT hizmet platformlarındaki güvenlik korumalarının kalitesinin büyük ölçüde değiştiğini, bazılarının daha olgun göründüğünü, diğerlerinin ise “aynı eski, kötü güvenlik politikalarına ve ilkelerine bağlı kaldığını” belirtiyor. Shaik ve ekibi, inceledikleri operatörleri kamuoyuna açıklamıyor çünkü sorunların ne kadar yaygın olabileceği konusunda endişeleri var. Operatörlerden yedisi Avrupa’da, ikisi ABD’de ve biri Asya’da bulunuyor.
Shaik, “Platformda bulunarak bize ait olmayan diğer cihazlara erişmek için kullanılabilecek güvenlik açıkları bulduk. Diğer IoT cihazlarıyla konuşabilir ve mesajlar gönderebilir, bilgi çıkarabiliriz. Bu büyük bir sorun.” dedi.
Operatörlerin araştırmacıların sorgulamalarını tespit edememesi, kendi başına izleme ve güvenlik önlemlerinin eksikliğini gösteriyor. Bu bulgular sadece ilk adım, ancak 5G’nin tam genişliği ve ölçeği ortaya çıkmaya başladıkça, yeni büyük ekosistemlerin güvenliğini sağlamanın zorluklarını ortaya çıkarıyor.
