Kaspersky araştırmacıları, tanınan bir akıllı oyuncak robotunda bulunan güvenlik açıklarının çocukları potansiyel olarak siber kusurluların gayesi haline getirebileceğini keşfettiler.
Kaspersky araştırmacıları, tanınan bir akıllı oyuncak robotunda bulunan güvenlik açıklarının çocukları potansiyel olarak siber kusurluların hedefi haline getirebileceğini keşfettiler. Kelam konusu zafiyetler, bilgisayar korsanlarının oyuncağın sisteminin kontrolünü ele geçirmesine ve ebeveynin müsaadesi olmadan çocuklarla görüntülü sohbet yoluyla gizlice irtibat kurmak için berbata kullanmasına imkan sağlayabilecek boyutta. Robot oyuncağın uygulamasıyla ilgili riskler, kullanıcıların isimleri, cinsiyetleri, yaşları ve hatta durumları üzere çocukları tehlikeye atabilecek hassas ayrıntılara kadar uzanıyor.
Çocuklar için tasarlanan kelam konusu Android tabanlı robot, dahili imaj kamera ve mikrofonla donatılmış. Çocukları isimleriyle tanımak ve onlarla etkileşime geçmek için yapay zekadan yararlanıyor. Vakit içinde onların ruh haline göre yansıları ayarlanarak yavaş yavaş arkadaşlık ilerletiliyor. Oyuncağın tüm potansiyelini ortaya çıkarmak için ebeveynlerin uygulamayı taşınabilir aygıtlarına indirmeleri gerekiyor. Bu uygulama aracılığıyla ebeveynler, çocuğun öğrenme faaliyetlerindeki ilerlemesini takip edebiliyor, hatta robot aracılığıyla çocukla imaj görüşmesi bile başlatabiliyor.
İlk heyetim sırasında ebeveynlerden oyuncağı bir Wi-Fi ağına bağlamaları, taşınabilir aygıtlarıyla irtibat kurmaları ve ardından çocuğun ismini ve yaşını girmeleri isteniyor. Tam da bu evrede Kaspersky uzmanları telaş verici bir güvenlik kahrını ortaya çıkarıyor. Bu bilgileri talep eden sorumlu API’ın (Uygulama Programlama Arayüzü), ağ kaynaklarınıza kimin erişebileceğini doğrulayan bir adım olan kimlik doğrulama uygulamasından yoksun olduğu ortaya çıkıyor. Bu durum potansiyel olarak siber kusurluların ağ trafiğini ele geçirip analiz ederek çocuğun ismi, yaşı, cinsiyeti, ikamet ettiği ülke ve hatta IP adresi de dahil olmak üzere çeşitli veri cinslerine erişmesine imkan tanıyor. Dahası, bu kusur siber kusurluların robotun kamera ve mikrofonundan yararlanarak ve veli hesabına dair gerekli yetkilendirmeyi atlayarak kullanıcılarla direkt arama başlatmasını sağlıyor. Bir çocuk bu aramayı kabul ederse, saldırgan ebeveynlerin müsaadesi olmadan çocukla gizlice irtibat kurabilir. Bu üzere durumlarda saldırgan kullanıcıyı manipüle edebilir, potansiyel olarak onu inançlı konut ortamından dışarı çekebilir veya riskli davranışlarda bulunmaya ikna edebilir.
Ayrıca ebeveynin taşınabilir uygulamasındaki güvenlik problemleri, bir saldırganın robotun kontrolünü uzaktan ele geçirmesine ve ağa yetkisiz erişim sağlamasına imkan tanıyabilir. Altı haneli tek seferlik parolayı (OTP) kurtarmak için zorla kestirim prosedürlerini kullanan ve başarısız denemeler için rastgele bir sınırlama getirmeyen bir saldırgan, robotu uzaktan kendi hesabına bağlayarak aygıtı sahibinin kontrolünden çıkarabilir ve kendi kontrolü altına alabilir.
Kaspersky ICS CERT Kıdemli Güvenlik Araştırmacısı Nikolay Frolov, şunları söylüyor: “Akıllı oyuncaklar satın alırken sırf cümbüş ve eğitim niteliklerine değil, birebir vakitte güvenlik ve emniyet özelliklerine de öncelik vermek mecburî hale geliyor. Daha yüksek fiyat etiketinin daha fazla güvenlik manasına geldiği tarafındaki yaygın inanca rağmen, en kıymetli akıllı oyuncakların bile saldırganların yararlanabileceği güvenlik açıklarına karşı bağışık olmayabileceğinin farkında olmak değerlidir. Bu nedenle ebeveynler oyuncak incelemelerini dikkatle incelemeli, akıllı aygıt yazılımlarını güncelleme konusunda tetikte olmalı ve oyun vakti boyunca çocuklarının faaliyetlerini yakından denetlemelidir.”
Ekibin kapsamlı araştırmasından elde edilen bulgular, Taşınabilir Dünya Kongresi (MWC) 2024’teki ‘Dijital Ortamda Savunmasızların Güçlendirilmesi’ başlıklı panel oturumunda sunuldu.
Kaspersky kümesi keşfettikleri tüm güvenlik açıklarını üreticiye bildirdi ve üretici hemencecik kelam konusu güvenlik açılarını ortadan kaldıracak yamaları yayınladı.
Daha fazla bilgi için Securelist adresini ziyaret edebilirsiniz
Tüm akıllı aygıtlarınızı inançta tutmak ve korumak için Kaspersky uzmanları aşağıdaki ipuçlarını öneriyor:
- Cihazlarınızı şimdiki tutun. Akıllı oyuncaklar da dahil olmak üzere tüm bağlı aygıtlarınızın eser yazılımını ve öbür yazılımlarını nizamlı olarak güncelleyin. Bu güncellemeler ekseriyetle bilinen güvenlik açıklarını gideren değerli güvenlik yamaları içerir.
- Satın almadan önce araştırın. Akıllı bir oyuncak veya rastgele bir bağlı aygıt satın almadan önce, üreticinin güvenlik ve zımnilik konusundaki itibarını araştırın. Güvenliğe öncelik veren ve sistemli güncellemeler sağlayan saygın markaların aygıtlarını tercih edin.
- Uygulama müsaadeleri konusunda dikkatli olun. Akıllı aygıtınızla alakalı taşınabilir uygulamalara verilen müsaadeleri gözden geçirin ve sonlandırın. Özelliklere ve bilgilere yalnızca gerekli erişimi sağlayın ve çok ayrıcalıklar vermekten kaçının.
- Cihazı kullanılmadığında kapatın. Bilgi toplanmasını önlemek için akıllı oyuncağı kullanmadığınız vakitlerde kapatın. Aygıtın mikrofonu varsa, aktif olmadığında ulaşılması güç bir yerde saklayın ve kullanılmadığında tüm kameraları kapatın veya farklı tarafa yönlendirin.
- Güvenilir güvenlik analizleri kullanın. Tüm akıllı mesken ekosisteminizin güvenliğini sağlamak ve korumak için sağlam bir güvenlik tahlili kullanın.
YORUMLAR