İngiltere merkezli Pen Test Partners güvenlik araştırmacıları, Aga’nin akıllı fırın hattında şaşırtan güvenlik açıkları keşfetti.
Bleeping Computer isimli sitede yer alan habere göre, araştırmacılar bu açıkların sms yoluyla kötüye kullanılabileceği yönünde uyarıyor. Bu açığın sebebinin ise Aga yönetiminin, cihazlarını kontrol etmek için klasik Wi-Fi modülünü kullanmak yerine bir GSM SIM modülü kullanmayı tercih etmiş olması ihtimali üzerinde duruluyor.
Bu SMS tabanlı yönetim özelliği, Aga kullanıcılarının fırınlarını uzaktan SMS göndererek açıp kapatmalarını sağlıyor. Fakat bu fırınlar SMS yoluyla hacklenebiliyor.
İlgili haber >> Tayvan’da hackerlar sahte SMS ile banka müşterilerini avladı
Bu senaryoda, saldırgan, kurbanın fırın SMS numarasına ihtiyaç duyuyor ve Pen Test araştırmacılarına göre, web tabanlı yönetim panelindeki açıklar saldırganların Aga fırınlarına bağlı tüm aktif SIM kart numaralarını ele geçirmesine olanak sağlıyor.
SMS yönetim komutlarıyla kimlik doğrulaması yapılmamakta ve bu da herhangi birinin insanların “akıllı” fırını SMS yoluyla kurcalayabileceği anlamına geliyor. Aga iTotal Kontrol gibi profesyonel fırınlar, en uygun pişirme sıcaklığına ulaşmadan önce saatlerce ısınmaya ihtiyaç duyuyor.
Bu açık sayesinde saldırganlar fırın sahiplerinin cihazlarını kapatarak rahatsızlık verebiliyor, lakin Pen Test Partners araştımacıları, kötü niyetli bir saldırganın bilinen tüm Aga fırınlarını açabileceğini ve bir bölgedeki elektrik enerjisi tüketiminde bir artışa neden olabileceği iddiasına çok gerçekçi bakmıyorlar.
“Bunun için o civarda bu cihazlardan binlerce olması gerek,” diyor araştırmacılar.
Kimliği doğrulanmamış SMS tabanlı uzaktan yönetim özelliğinin yanı sıra, araştırma ekibi Aga’nın akıllı fırınlarıyla ilgili bazı başka problemler de keşfetmiş. Birincisi, Aga web yönetim paneli HTTPS kullanmıyor ve kullanıcılarını ele geçirmesi çok kolay beş basamaklı bir şifre kullanmaya zorluyor.
İkincisi, Aga mobil uygulaması HTTP ile de çalışabiliyor; ancak geliştiriciler HTTPS kullansa bile, uygulama, sertifika doğrulamasını bilinçli olarak devre dışı bırakıyor, yani saldırganlar, uygulama içinden veya dışından gelen trafiği engellemek için herhangi bir SSL sertifikası kullanabilir.
Esasen bu sorunlar kritik güvenlik kusurları değiller ve düzeltilmesi oldukça kolay olmalı diye düşünüyor bir çok araştırmacı. Fakat sorun şu ki, Aga temsilcileri araştırma ekibini görmezden geliyor ve hatta Twitter’da, güvenlik açığını şirkete bildirmeye çalışan araştırmacılardan birini engelliyor.
İlgili haber >> Akıllı saatler güvenlikte sınıfta kaldı
İngiltere merkezli IoT üreticisini iki hafta boyunca uyarmaya çalışan Pen Test Araştırmacıları ise elindeki bulguları kamuoyuyla direk paylaşmaya karar vermiş.
Ayrıca Pent Test Partners, Aga’nın iTotal Control akıllı fırınında kullanılan GSM SIM uzaktan yönetim modülünün, aynı zamanda yağ depolama tankları, ısıtma sistemleri, süreç kontrolü ve tıbbi cihazlar için benzer SMS yönetim bileşenleri satan Tekelek adlı bir şirket tarafından oluşturulduğunu iddia ediyor.
Aga yönetiminin Pen Test Parteners’ı dinleyip dinlemeyeceği ise şuan merak konusu.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]
