Kaspersky uzmanları geçtiğimiz günlerde popüler bir oyuncak robot modelinin güvenliğini inceledi ve kötü niyetli kişilerin bu tür bir robotla görüntülü arama yapmasına, ebeveyn hesabını ele geçirmesine ve hatta potansiyel olarak değiştirilmiş ürün yazılımı yüklemesine olanak tanıyan önemli sorunlar buldu. Ayrıntılar için okumaya devam edin.
Bir oyuncak robot neler yapabilir?
Üzerinde çalıştığımız oyuncak robot modeli, bir akıllı telefonu/tableti ve hareket etmesini sağlayan tekerlekli bir akıllı hoparlörü bir araya getiren bir tür melezdir. Robotun uzuvları yok, bu nedenle çevresiyle fiziksel olarak etkileşime geçmek için tek seçeneği evin içinde yuvarlanmak.
Robotun merkezinde bir kontrol kullanıcı arayüzü, çocuklar için etkileşimli öğrenme uygulamaları ve canlı, ayrıntılı animasyonlu çizgi film benzeri bir yüz görüntüleyebilen büyük bir dokunmatik ekran yer alıyor. Yüz ifadeleri bağlama göre değişiyor: geliştiriciler robotun kişiliği konusunda harika bir iş çıkarmışlar.
Robot sesli komutlarla kumanda edilebiliyor, ancak bazı özellikleri bunu desteklemiyor. Bu nedenle bazen robotu yakalamanız ve yerleşik ekranını yani yüzünü parmağınızla dürtmeniz gerekiyor.
Yerleşik bir mikrofon ve oldukça yüksek sesli bir hoparlöre ek olarak, robot ekranın hemen üzerine yerleştirilmiş geniş açılı bir kamerası var. Satıcı tarafından lanse edilen önemli bir özelliği de ebeveynlerin çocuklarını doğrudan robot aracılığıyla görüntülü arayabilmeleri.
Ön yüzünde, ekran ile tekerlekler arasında, robotun çarpışmalardan kaçınmasına yardımcı olan ekstra bir optik nesne tanıma sensörü yer alıyor. Engel tanıma özelliği ana kameradan tamamen bağımsız olduğundan, geliştiriciler oldukça kullanışlı bir şekilde ana kamerayı tamamen kapatan fiziksel bir deklanşör eklemişler.
Yani, birinin sizi ve/veya çocuğunuzu kameradan gözetlemesinden endişe ederseniz deklanşörü kapatabilirsiniz ancak ne yazık ki biraz sonra öğreneceğimiz gibi bu tam olarak böyle değil. Birinin sizi dahili mikrofondan dinleyebileceğinden endişeleniyorsanız, robotu kapatabilirsiniz (ve yeniden başlatmak için geçen süreye bakılırsa, bu gerçekten iyi bir kapatma – uyku modu değil).
Bekleneceği gibi, oyuncağı kontrol etmek ve izlemek için ebeveynlerin kullanabileceği bir uygulama var. Şimdiye kadar tahmin etmiş olmanız gerektiği gibi, tamamen internete bağlı ve bünyesinde bir dizi bulut hizmeti barındırıyor. Teknik ayrıntılarla ilgileniyorsanız, bunları Securelist’te yayınladığımız güvenlik araştırmasının tam sürümünde bulabilirsiniz.
Her zamanki gibi, sistem ne kadar karmaşıksa, birilerinin kötü bir şey yapmak için istismar etmeye çalışabileceği önemli güvenlik açıklarına sahip olma olasılığı da o kadar yüksektir. Ve işte bu yazının kilit noktasına geldik: robotu yakından inceledikten sonra birkaç ciddi güvenlik açığı bulduk.
Yetkisiz görüntülü arama
Araştırmamız sırasında bulduğumuz ilk şey, kötü niyetli aktörlerin bu türden herhangi bir robotla görüntülü görüşme yapabileceğiydi. Satıcının sunucusu, hem robot kimliğine hem de ebeveyn kimliğine sahip olan herkese video oturumu belirteçleri verdi. Robotun kimliğini deneme yanılma yöntemiyle kırmak zor değildi: her oyuncağın gövdesine basılmış seri numarasına benzer dokuz karakterli bir kimliği vardı ve ilk iki karakter her ünitede aynıydı. Ve ebeveynin kimliği, herhangi bir kimlik doğrulaması olmadan üreticinin sunucusuna robot kimliği ile bir istek gönderilerek elde edilebiliyordu.
Böylece, rastgele bir çocuğu aramak isteyen kötü niyetli bir aktör ya belirli bir robotun kimliğini tahmin etmeye çalışabilir ya da rastgele kimlikleri arayarak bir sohbet ruleti oyunu oynayabilir.
Ebeveyn hesabının tamamen ele geçirilmesi
Burada bitmiyor. Kandırmaya açık bu sistem, robot kimliği olan herkesin sunucudan çok sayıda kişisel bilgi almasına izin veriyor: IP adresi, ikamet edilen ülke, çocuğun adı, cinsiyeti, yaşı. Ayrıca ebeveyn hesabının ayrıntıları: ebeveynin e-posta adresi, telefon numarası ve ebeveyn uygulamasını robota bağlayan kod.
Bu da çok daha tehlikeli bir saldırıya kapı açıyordu: Ebeveyn hesaplarının tamamen ele geçirilmesi. Kötü niyetli bir aktörün yalnızca birkaç basit adım atması yeterli:
- Birincisi, daha önce elde edilen e-posta adresini veya telefon numarasını kullanarak kendi cihazlarından ebeveyn hesabına giriş yapmak. Yetkilendirme için altı haneli tek seferlik bir kod gönderilmesi gerekiyor, ancak oturum açma denemeleri sınırsızdı, bu nedenle basit bir deneme yanılma süreci işe yarayabilir.
- Robotun gerçek ebeveyn hesabıyla bağlantısını kesmek için yalnızca bir tıklama yeterliydi.
- Sırada saldırganın hesabıyla bağlantı kurmak var. Hesap doğrulama yukarıda bahsedilen bağlantı koduna dayanıyor ve sunucu bunu gelen herkese gönderiyor.
Başarılı bir saldırı, ebeveynlerin robota tüm erişimini kaybetmesine neden olacak ve robotun kurtarılması için teknik destekle iletişime geçilmesi gerekecek. O zaman bile saldırgan tüm süreci tekrar edebilir, çünkü ihtiyacı olan tek şey değişmeden kalan robot kimliği.
Değiştirilmiş ürün yazılımının yüklenmesi
Son olarak, robotun çeşitli sistemlerinin çalışma şeklini incelerken, yazılım güncelleme süreciyle ilgili bazı güvenlik sorunları keşfettik. Güncelleme paketleri dijital imza olmadan geldi ve robot önce herhangi bir doğrulama çalıştırmadan satıcının sunucusundan alınan özel olarak biçimlendirilmiş bir güncelleme arşivini yükledi.
Bu, güncelleme sunucusuna saldırma, arşivi değiştirilmiş bir arşivle değiştirme ve saldırganın tüm robotlarda süper kullanıcı izinleriyle keyfi komutlar çalıştırmasına izin veren kötü amaçlı aygıt yazılımı yükleme olasılıklarını ortaya çıkardı. Teorik olarak, saldırganlar robotun hareketleri üzerinde kontrol sahibi olabilir, dahili kamera ve mikrofonları casusluk için kullanabilir, robotlarla telefon görüşmeleri ve daha pek çok şey yapabilir.
Nasıl güvende kalabilirsiniz?
Yine de bu hikâye mutlu sonla bitiyor. Oyuncağın geliştiricilerini keşfettiğimiz sorunlar hakkında bilgilendirdik ve onlar da bunları düzeltmek için adımlar attılar. Yukarıda açıklanan güvenlik açıklarının tümü giderildi.
Son olarak, çeşitli akıllı cihazları kullanırken güvende kalmaya ilişkin birkaç ipucunu burada bulabilirsiniz:
- Her türlü akıllı cihazın – hatta oyuncakların bile – genellikle geliştiricileri kullanıcı verilerinin güvenli ve güvenilir bir şekilde saklanmasını sağlamakta başarısız olan son derece karmaşık dijital sistemler olduğunu unutmayın.
- Bir cihaz satın alırken, kullanıcı geri bildirimlerini ve incelemelerini ve bulabilirseniz ideal olarak tüm güvenlik raporlarını dikkatlice okuduğunuzdan emin olun.
- Unutmayın ki bir cihazda güvenlik açıklarının keşfedilmiş olması o cihazı daha kötü yapmaz: sorunlar her yerde bulunabilir. Bakmanız gereken şey satıcının verdiği yanıttır: herhangi bir sorunun giderilmiş olması iyiye işarettir. Satıcının umursamaz görünmesi hiç de iyi bir şey değildir.
- Akıllı cihazlarınız tarafından gözetlenmekten veya dinlenmekten kaçınmak için, kullanmadığınız zamanlarda onları kapatın ve kameraların üzerini kapatın veya bantlayın.
- Son olarak, tüm aile üyelerinizin cihazlarını güvenilir bir güvenlik çözümü ile korumanız gerektiğini söylemeye sanırız ki gerek yok. Bir oyuncak robotun hacklenmesi kuşkusuz egzotik bir tehdit ama diğer türden çevrimiçi tehditlerle karşılaşma olasılığı bugünlerde hâlâ çok yüksek.