Çocuğunuzun güvende olması için satılan parlak, çizgi film karakterli akıllı saatinin, bir TV yetenek yarışmasını manipüle etme planının küçük bir parçası olabileceğini hayal edin. Kulağa saçma gelse de, Pen Test Partners’ın kurucusu Ken Munro, Londra’daki IoT Güvenlik Yıllık Konferansı’nda delegelere tam olarak bu tür bir kaosun, kötü IoT güvenliği nedeniyle mümkün olduğunu söyledi.
Munro, “Bu takip saatlerindeki fikir, küçük bir mobil uygulamanız olması, saati çocuğa vermeniz ve nerede olduklarını bilmek için onları takip edebilmenizdir. Harika,” dedi. Ancak Munro’nun belirttiği gibi, “bu küçük saat aslında mini bir cep telefonu.” Her cihaz bir SIM kart içeriyor ve bir API aracılığıyla ebeveynin mobil uygulamasının bağlandığı bir bulut platformuna veri iletiyor.
“Bir yetkilendirme hatası (detaylara dikkat eksikliği) yüzünden, size bir [yetkilendirme] jetonu veriliyordu, ancak bu jeton düzgün bir şekilde yetkilendirilmemişti,” diye açıkladı. “Bu, bize her bir kullanıcının çocuğunun saatine tam erişim sağladı.”
Avustralyalı araştırmacı Troy Hunt ile çalışan Munro’nun ekibi, açığın gerçek ve rahatsız edici olduğunu doğruladı. Munro, “Sadece çocukların gerçek zamanlı GPS konumlarını sızdırmakla kalmadığını, aynı zamanda bunu yeniden yazabildiğinizi de keşfettik,” dedi. “İşte kızı Elle, Southport’ta tenis oynuyor. Bunu yeniden yazıp onu tamamen başka bir yere bırakabilirsiniz.”
Saatler aynı zamanda sesli komutları da kabul edebildiği için, sonuçlar takibin çok ötesine geçiyordu. “Mikrofonu ve hoparlörü etkinleştirebiliyorduk,” diye ekledi Munro. “Troy ile yaptığımız harika bir videoda, meslektaşlarımdan biri gerçekten de saat aracılığıyla (çok ürkütücü bir aksanla) çocuğuyla konuştu. Özellikle çocuklarımız için bu konuda daha iyisini yapabiliriz.”
Ve sonra o muzip düşünce deneyi geldi. Munro, “Telefon aramalarını tetiklememize ve SMS mesajları göndermemize olanak tanıyan yetkilendirme sorunları keşfettik,” dedi. “Nereye varmaya çalıştığımı anlıyor musunuz? Televizyonu ne kadar etkilemeniz gerektiğini anlamak için küçük bir araştırma yaptık. İster inanın ister inanmayın, çok fazla arama gerekmiyor.”
Teorik olarak, “Çocukların bileklerindeki tüm bu rastgele telefonların Eurovision telefon oylamasını etkilemek için SMS göndermesini ve arama yapmasını sağlayabilirdik” diye şaka yaptı. “Şimdi, biz bunu yapmıyoruz; etik ve sorumluyuz, değil mi? Ama Birleşik Krallık’ı skor tablosunda yukarı taşımak için yaklaşık 100.000’den fazla ek SMS’e ihtiyacımız olmayacağını hesapladık.”
Bu kulağa hayal ürünü gibi gelse de, Munro bunun Eurovision’da değil, The Voice Kids Rusya’da zaten yaşandığını belirtti; burada bir yarışmacı, sahte telefonlara kadar takip edilen 41.000 oyla mucizevi bir şekilde kazanmıştı.
Geçtiğimiz on yıl içinde, İngiltere merkezli Pen Test Partners, ev halkını dinleyen akıllı TV’leri hacklemekten, yabancıların Bluetooth üzerinden çocuklarla konuşmasına izin veren “My Friend Cayla” bebeğine kadar, IoT tasarımının absürt ve endişe verici yanlarını ortaya çıkarmasıyla tanındı.
Munro, “Üreticileri utandırmaya çalışmıyorduk. IoT’yi daha iyi hale getirmek, güvenliğin sonradan düşünülecek bir şey olamayacağını göstermek istedik,” dedi. Bu araştırmalar, düzenleyicileri ve oyuncak üreticilerini standartları sıkılaştırmaya itse de, son örneklerin gösterdiği gibi, alınan dersler hala evrensel değil.
