Casus Bebek Monitörleri

Çocuklarınızı güvende tutmak elbette birinci önceliğiniz. Onlardan uzak kaldığınız zamanda bile her seslerini hatta nefeslerini dinlemek, onların her an iyi olduğunu bilmek istemeniz de bu nedenle gayet normal. Bunun için artık her bebeği olanın bir de bebek monitörü var.

İlk çıktığı zamanlarda sadece endişeli ebeveynlere bir radyo frekansı kullanarak sesleri ileten monitörler yeterliyken, bebek monitörleri de teknolojiden nasibini aldı ve artık çevrimiçi, ağa bağlı, telefonlardan da izlenebiliyor, video kaydı alabiliyor yani “akıllı”.

Peki, gerçekten “akıllı bebek monitörü”ne ihtiyacınız var mı yoksa fark etmediğiniz bir tehdit mi oluşturuyorlar?

“2018’in en iyi bebek monitörleri”ne baktığımızda monitörlerin çoğu şu özelliklere sahip:
– Entegre kamera görüntüsü (bazıları gece görüşü ile)
– Akıllı telefon uygulamaları ile kullanılabilme
– Wi-Fi bağlantıları
– Hareket sensörleri
– İki yönlü ses iletimi

Önceden kaydedilmiş ninniler, sıcaklık izleme ve hatta bazılarında bulut depolama bile bulunuyor (bulut depolama bir bebek monitöründe neden bulunur diye soruyor muyuz peki?).

Ve sorun da burada başlıyor, küçük bir bilgisayar haline gelen bebek monitörleri aynı bilgisayarlar gibi internete bağlandıkları andan itibaren istismar edilmeye açık zafiyetler bulunduruyor. Geçtiğimiz 3 yıl içerisinde birçok bebek monitörü “istismar edilebilir” olarak duyuruldu. Çin menşeli 50.000 kullanıcısı olan Mi-CAM’de 2018 yılında Avusturyalı bir güvenlik şirketi (SEC Consult) tarafınca bir seri zafiyet buldu. Kameranın şifresini atlayan bir proxy sunucusu aracılığıyla kameraya erişim elde etti. Diğer bir güvenlik açığı, cihazla üreticinin bulut sunucusu arasındaki canlı video akışlarını engellemek için ortadaki adam gibi davranmalarını sağladı. Ayrıca, araştırma bloglarına göre “çok zayıf, dört haneli varsayılan kullanıcı bilgileri” buldular.

2016 yılında New York Tüketici Hakları Departmanı, korsanlık hedefi olan birden fazla bebek monitörü hakkında şikayet aldı. Şikayetlere göre saldırganlar hackledikleri bebek monitörlerinden çığlık atıyor, “uyan, uyan” diye sesleniyor, bebeklere gülüyor ya da korkunç sesler çıkartıyordu. Bunun üzerine beş farklı bebek monitörü incelediklerinde, yalnızca tek bir monitörün güvenli bir parola gerektirdiğini, iki tanesinin ise hiç parola kullanmadığını tespit etti. Üç tanesi yanlış girişlerden sonra tekrarlanan şifre tahminlerine izin vererek, onları kaba kuvvet saldırısına karşı açık hale getiriyordu.

Güvenlik firması Rapid 7, dokuz farklı Wi-Fi özellikli bebek monitörünü test ettikten sonra benzer güvenlik açıkları buldu. Araştırmalarına göre her kameranın, sabit kodlanmış (üzerinde gelen) ya da kolay erişilemediği için değiştirilmeyen bir parola hesabı vardı. Yönetici yetkileri ya da destek amaçlı olarak kameralara arka kapı erişimi sağlanabiliyordu.

Bir başka haber 5 Temmuz 2018 tarihinde Amerika’da yayıldı. Habere göre bebek monitörünün telefon uygulaması sadece anne ve babanın cep telefonlarında yüklüydü, onlardan başka kullanıcısı yoktu. Cep telefonlarından kendi yatak odalarında uyumakta olan bebeğin yatağını izleyebiliyorlardı. Bir sabah anne uyandığında bebek monitörünün her zaman bebeği emzirdiği yere çevrilmiş olduğunu fark etmiş ancak kocasının uzaktan kumanda ederek çevirdiğini düşünmüştü. Aynı akşam yemekte anne ve baba sofradayken cep telefonlarında açık olan görüntünün yine aynı emzirme noktasına döndüğünü, orada kimse olmadığı görülünce de tekrar bebeğin yatağına çevrildiğini fark ettiklerinde ise dehşete kapılıp polise koşmuşlardı, maalesef bir sonuç alınamadı. (Anne Jamie Summit’in yaşadıklarını anlattığı Facebook gönderisine https://www.facebook.com/jamie.l.turman/posts/10156309381564593 linkinden erişebilirsiniz.)

Bebek monitörleri neden saldırganlar için çok kolay bir hedef oluşturuyor?
– Bebek monitörlerinde genellikle güvenlik özelleştirme seçenekleri bulunmuyor, yani bu cihazları güvenli hale getiren parolaları değiştirme yetkisi çoğunlukla kullanıcıda değil
– Parola değişikliğinin yapılamaması bir yana onlarca kamera ve monitörde parola ihtiyacı bile duyulmuyor
– Monitörlerin güvenliğinden ancak kullanıcıların genel internet güvenlikleri ile aynı oranda bahsedebilir ve pek çok kişinin bu konuda bilgisi az (Örneğin router güvende değilse, monitör de güvenli değil)
– Parola özellikli cihazların üzerinde gelen default parolaları bir saldırganın ele geçirebilmesi maksimum 30 dakikasını alıyor!

Peki, bebek monitöründe güvenlik nasıl sağlanabilir?
– Ev ağ güvenliğinizi bir kez daha gözden geçirin. Kullandığınız router hala varsayılan parola ayarına mı sahip? Wi-Fi parolanız yeterince güçlü mü? Ağınızda bilinmeyen cihazlar var mı?
– Bebek monitörü için alışveriş yaparken durum tespiti yapın. Cihaz parolasını değiştirebildiğinizden emin olun.
– Satın almak istediğiniz bebek monitörü için bir Google araması yaparken arama çubuğuna “güvenlik” veya “güvenlik açığı” diye eklemeyi unutmayın. Eğer monitör ile ilgili sızıntı, ihlal, hack vb. gibi haberler görürseniz uzak durun.
– İnternete bağlanan, bulut depolama özelliğine sahip bir bebek monitörüne ihtiyacınız olup olmadığını bir daha düşünün.

Ancak her şeyden önce, bebek monitörünüzdeki parolayı değiştiremezseniz, asla kazanamazsınız. Ve bu kural tüm IoT cihazları için geçerli.

Eğer güvenlik ayarlarına erişemiyorsanız, güvenliğiniz sizin kontrolünüzde değil demektir.

 

 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*