Kolumuzdaki güvenlik açığı: Akıllı saatler

kolumuzdaki-guvenlik-acigi-akilli-saatlerSon yapılan araştırmalara göre akıllı saatler ortalamanın üzerinde güvenlik zayıflıklarına sahip. Güvensiz kimlik doğrulama, şifreleme ve gizlilik sıkıntıları, çeşitli yazılımsal güvenlik açıkları bu yeni pazarı tehdit ediyor.

Durum öylesi bir hal almış ki şu an için önerilen şey güçlü bir kimlik doğrulama sistemi gelinceye kadar akıllı saatlere araba veya evimizi bağlamamamız yönünde. Diğer yandan tek tehdit evimiz veya arabamız değil. Akıllı saatler yavaş yavaş kurumsal ağlara da bağlanıyor ve bu bambaşka tehditlerin önünü açacak.

Akıllı saatler şimdiden yaşamımızın bir parçası olmaya başladı. Gelecekte kullanımı artacak bu cihazlar yeni tehditleri de hayatımıza katıyor. Akıllı saatlere dair açıklık kategorilerinden bazıları;

Yetersiz kimlik doğrulama ve yetkilendirme: Mobil telefonlarla eşleştirilen akıllı saatlerin hiçbirini iki aşamalı şifre gibi bir önleme sahip değil. Aynı zamanda 3-5 başarısız denemeden sonra hesabı kitlemiyorlar. Bunun anlamı brute force yoluyla basit şifrelere ulaşılabilecek olması.

Şifreleme ile ilgili yetersizlikler: Şifreli iletişim bir akıllı saat için belki en temel özellik. Ürünlerin neredeyse tamamı SSL/TLS şifreleme kullanıyor. Bunların %40’ının ise bulut bağlantısı var ve POODLE saldırısına karşı savunmasız. SSLv2 gibi zayıf cipherlar aktif ve kullanılabiliyor.

Güvensiz arabirimler: Akıllı saatlerin %30’u bulut tabanlı bir web arabirime sahip. Bunların tümü brute force saldırılarına karşı savunmasız durumda. Aynı zamanda mobil uygulamaları da brute force saldırılarından muzdarip. Kullanıcı adı bilinmiyorsa, şifre sıfırlama aşamasında kullanıcı adını belirlemekte mümkün durumda.

Güvensiz yazılım ve donanım: Akıllı saatlerin %70’i firmware güncellemeleri, firmware dosyalarının transferi sırasındaki şifreleme konusunda açıklar içeriyor.

Gizlilik sıkıntıları: Tüm akıllı saatler isim, adres, doğum tarihi, kilo, cinsiyet, kalp atış hızı ve diğer sağlık bilgilerini toplayıp üreticiye iletiyor.