Pen Test Partners'a göre, Shelly'nin yeni 4. nesil ev güvenlik cihazlarındaki ciddi bir tasarım hatası, Avrupa'daki milyonlarca evi siber saldırılara açık hale getirebilir.
Bir siber güvenlik danışmanlık şirketinde çalışan güvenlik araştırmacıları, Avrupa merkezli ev güvenlik sistemi şirketi Shelly'nin akıllı ev ürünlerinde büyük bir güvenlik açığı tespit edildiğini öne sürdü.
Şu anda Shelly ürünleri Avrupa'da 5,2 milyondan fazla hanede kullanılıyor. Pen Test Partners'a göre bu tasarım sorunu, çoğu kullanıcının asla fark etmeyeceği, özel konutlara açılan görünmez bir arka kapı oluşturuyor.
Siber güvenlik şirketi Pen Test Partners’a göre, Shelly’nin yeni Nesil 4 akıllı ev cihazları, ilk kurulum sırasında gerekli olan açık kablosuz erişim noktasını (Wi-Fi access point), cihaz evin ana Wi-Fi ağına başarıyla bağlandıktan sonra dahi kapatmıyor.
Bu durum, kurulum tamamlandıktan çok sonra bile kullanıcıların bilgisi ve rızası dışında arka planda açık kalan gizli bir ağ oluşmasına yol açabiliyor.
Şirketin önceki modellerinde ise cihaz ana ağa bağlandıktan sonra bu erişim noktası otomatik olarak devre dışı bırakılıyordu.
Pen Test Partners’a göre söz konusu açık, bir konutun yakınında bulunan kişilerin bu açık erişim noktası üzerinden ev ağını kullanarak ön kapı, garaj kapısı ya da bahçe kapısı gibi bağlı sistemlere erişebilmesine imkân tanıyabilir. Bu da hırsızlık ve zorla eve girme gibi fiziksel güvenlik riskleri doğurabilir.
Ancak araştırmacılar sorunun bununla sınırlı olmadığını belirtiyor. Yapılan daha kapsamlı inceleme, meselenin basit bir yapılandırma hatasından daha ciddi olabileceğine işaret ediyor.
İddiaya göre Nesil 4’teki güvenlik açığı, etkilenen tek bir cihazın, marka fark etmeksizin aynı ağa bağlı diğer akıllı ev cihazlarına erişim için bir “sıçrama noktası” olarak kullanılmasına olanak tanıyabiliyor.
Avrupa genelinde birçok evde Shelly ve farklı markalara ait cihazların bir arada ve farklı nesiller halinde çalıştığı göz önüne alındığında, bu durum hem çevrimiçi sistemler hem de fiziksel güvenlik açısından geniş çaplı bir zafiyet riski oluşturabilir.
Henüz bir adım atılmadı
Pen Test Partners, bu güvenlik açığını Shelly'ye bildirdiklerini, şirketin ise 1.8.0 sürümlü bir firmware güncellemesiyle bu açığın giderileceğini belirttiğini aktardı.
Bu durum, erişim noktalarını elle devre dışı bırakma işini kullanıcılara bırakıyor. Öte yandan, çoğu ev sahibi bunu yapması gerektiğini bile bilmiyor olabilir.
Pen Test Partners'ın kurucusu Ken Munro, Euronews Next'e yaptığı açıklamada, “Bir erişim noktasının açık bırakıldığını ve bunun nasıl devre dışı bırakılacağını anlatan kapsamlı bir bilgilendirme kampanyası yürütmeleri gerekiyor. Bunu yapmadılar çünkü muhtemelen itibarlarını etkileyecek,” dedi.
Shelly, Euronews Next'e yaptığı açıklamada, mobil uygulamaları üzerinden resmi kurulum yöntemlerini izleyen kullanıcılar için erişim noktasının otomatik olarak devre dışı bırakıldığını belirtti.
Manuel yapılandırmayı tercih eden kullanıcılara, erişim noktasını güvenceye almaları için uyarılar gösteriliyor. Yakında çıkacak bir firmware güncellemesi ise belirli bir süre sonunda erişim noktalarını otomatik olarak devre dışı bırakacak.
Shelly'den bir sözcü, Euronews Next'e yaptığı açıklamada, “Shelly ekosistemindeki tüm yapılandırma akışlarının ve dijital varlıkların, mobil uygulamamız ve web bulut arayüzümüz de dahil, kullanıcılara cihazlarını nasıl güvenceye alacakları konusunda net rehberlik sunduğunu vurgulamak isteriz,” dedi.
“Erişim noktasının açık bırakılması da dahil olmak üzere, önerilen kurulum iş akışlarının dışındaki tüm yapılandırma tercihlerinin sorumluluğu kullanıcıya aittir ve bunlar doğrudan platform kontrolümüzün dışında kalmaktadır," diyen yetkili, açıklamasını şöyle sürdürdü: “Bağlı her cihazda olduğu gibi, kullanıcılar donanımlarını kendi ihtiyaçlarına göre yapılandırmakta serbesttir ve biz de kurulum sırasında sunulan güvenlik tavsiyelerine uymalarını aktif biçimde teşvik ediyoruz."
Shelly ayrıca, yaklaşan bir firmware sürümünde, yapılandırma veya sağlama için açıkça gerek duyulmadıkça, önceden tanımlanmış bir zaman aşımının ardından erişim noktasının otomatik olarak devre dışı bırakılmasını sağlayacak bir iyileştirme sunacağını vurguladı.
Öte yandan son birkaç yılda, önemli güvenlik açıkları nedeniyle giderek daha fazla sayıda akıllı ev ürünü ve diğer bağlı cihaz eleştiri oklarının hedefi oldu. Bunlar arasında Amazon'un Ring marka kapı zilleri ve Dahua güvenlik kameraları da bulunuyor.
Munro, “Uzmanlık alanımız bağlı cihazlar ve her türlü akıllı ev sistemini test ediyoruz,” diye kaydetti. “Benzer sorunları güneş enerjisi invertörlerinde de gördük hatta 10 yılı aşkın süre önce bir otomobilde buna benzer bir güvenlik açığı bulduk.”
Bu akıllı ev cihazlarından veri sızıntısı, özellikle de kullanım ve davranış verilerine ilişkin sızıntılar, bir diğer kritik sorun olarak öne çıkıyor.
Munro, “Bazen insanların kullanım ve davranış verilerinin yanlışlıkla sızdırıldığını tespit ediyoruz. Akıllı cihaz üreticileri ürünlerini geliştirmek için kullanım verisi topluyor ancak bireysel verilerin oldukça bilgi verici olabileceğini çoğu zaman unutuyorlar,” dedi.