Akıllı Saatler Güvenlik Konusunda Ne Kadar Başarılı?

Teknoloji habercileri dahil herkes akıllı saatlerin muhteşem özelliklerine ve hayatımıza getirdikleri kolaylıklara ve hatta akıllı saatlerin kullanım ömürlerine odaklanmış durumda. Fakat kimse bu aletlerin güvenliğiyle ilgili neredeyse hiç konuşmuyor. Akıllı saatleri hack’lemek ne kadar kolay? Kötü amaçlı yazılımlar yüklenebilir mi? Çalınır ya da kaybolurlarsa kişisel bilgilerinize ulaşılabilir mi? Gerekirse saatin tüm içeriğini uzaktan silebilir miyiz?

Bu tür soruları akıllı telefonlarımız için sık sık sormamıza rağmen, onlara göbekten bağlı olan akıllı saatlerimiz için de sormak aklımıza gelmiyor. Akıllı saatlere erkenden geçen kullanıcılar ve güvenlikle ilgili korku hikâyeleri üretmekte üzerine tanımadığımız medya ise bu saatlerin güvenliği konusunda beklenmedik şekilde pek bir şey söylemiş değil.

Riskleri kabul edip önlem almak şart

Akıllı saatlerle ilgili otomatik olarak kabul etmemiz gereken ilk gerçek, tüm diğer teknolojik araç gereçler gibi, onların da güvenliğimiz için risk oluşturabilecek olmaları. Ne de olsa kolunuzdaki saat çoğunlukla aslında akıllı telefonunuz için aptal mini bir monitör görevi görüyor veya biz öyle düşünüyoruz ve akıllı telefonlarımız yeterince güvenliyse akıllı saatlerimizin de aynı derecede güvenli olduğunu varsayıyoruz.

Gerçekse bundan biraz daha farklı. Güvenlik firması Trend Micro’nun araştırmacıların yaptığı ve Apple Watch, Motorola 360 ve Pebble akıllı saatlerinin yer aldığı bir sızma testi (donanım güvenliği, veri bağlantısı ve yerel veri saklanması) çalışmasında ortaya çıkan sonuç şu: Üreticiler, kullanılabilirliği güvenliğin önünde görüyorlar. Trend Micro’dan bir siber güvenlik danışmanı konuyla ilgili şunları söylüyor: “Gördük ki tüm akıllı saatler mutlaka yerel olarak veri saklıyorlar. Bu da saatlerin, eşleşmiş oldukları akıllı telefonların bağlantı menzili dışına çıktığında hacker’lar tarafından hack’lenebilmesine imkân veriyor.”

Hem Apple hem de Android akıllı saatler okunmamış bildirimleri, fitness ve takvim verilerini yerel olarak depoluyor. Apple Watch ayrıca fotoğrafları, rehberi ve Passbook bilgilerini de yerel hafızada saklıyor. Trend Micro yetkilisi, “Passbook bilgileri uçak bileti gibi hassas verileri içerdiği için akıllı saat kullanıcıları akıllı telefonları kadar saatleriyle ilgili de dikkatli olmalı.” diyor.

Eşzamanlanmış birçok veriyi saate bakarak okuyabilme fikri zaten düşündürücü ama Apple Watch’un bu kadar fazla veriyi cihaz üzerinde depolaması daha da endişe verici. Trend Micro araştırmasının ortaya çıkardığı bir başka gerçekse akıllı saatlerin sadece dışarıdan akıllı göründüğü yanılgısını ortadan kaldırması.

Siber saldırılar için daha riski hale geliyor

Teknoloji devi HP’nin akıllı saatlerle ilgili yaptığı başka bir araştırma da benzer sonuçlar vermiş. Araştırmaya göre test edilen tüm cihazlarda güvenlik açıkları var ve HP’ye göre akıllı saatler “yeni ve önü oldukça açık potansiyel bir siber saldırı odağı” durumundalar. HP, yetersiz kullanıcı giriş doğrulaması, parola sıfırlama mekanizması kullanılarak kullanıcı kimliğinin ortaya çıkarabileceği güvensiz web arayüzü ve veri aktarımı sırasında yetersiz şifrelemeye dikkat çekiyor. HP’nin saydığı bu üç sorundan sonuncusu güvenlik işindekiler için çok büyük bir mesele. Tüm cihazlar SSL/TLS güvenlik protokollerini kullanmasına rağmen HP’nin bulgularına göre akıllı saatlerin % 40’ı ya POODLE (“aradaki adam” yöntemiyle veri alışverişindeki şifreleme mekanizmalarını kullanan ve normal şartlarda engellenmesi görece kolay olan bir siber saldırı biçimi) saldırılarına açık ya da SSL 2.0 gibi eski protokolleri kullanıyorlar.

AdaptiveMobile’ın Strateji Şefi Simeon Coney, kullanıcılara sahte mesajlar gönderebilme potansiyelini ciddi bir tehlike olarak görüyor. Coney, “Akıllı saatlerde, akıllı telefonlarda da olan önemli bir güvenlik riski var: Kullanıcıları bildirimlere kısaca bakıp hemen yanıt vermeye teşvik ediyorlar.” Bunun anlamı saldırganların gerçekliği doğrulanmamış bildirimlerle kullanıcılarla iletişime geçerek onları kandırabilmesi. Bilgisayarınızda bir e-posta aldığınızda o e-postanın size gelene kadar geçtiği güvenlik doğrulamalarında çok uzak bir durum bu. Coney, “Kullanıcıya bir bilginin kaynağını doğrulamak için yeterli bilgi verilmediği veya cihazın ya da ekosistemin bildirim kullanıcıya ulaşana kadar yeterli güvenlik doğrulaması yapmadığı her sistem saldırıya açıktır.” diyor.

Bir de yazılım ve güncelleme dosyalarının herhangi bir şifreleme olmadan akıllı saatlere aktarılması sorunu var elbette. Bu, yukarıda bahsettiklerimiz kadar büyük bir problem teşkil etmiyor çünkü her güncelleme üreticisi tarafından imzalanarak doğrulanıyor. Fakat bu güncelleme dosyalarının şifrelenmiş olması, kötü niyetli kişilerin onları indirip rahatlıkla incelemesi anlamına da geliyor. Bunun ifade ettiği bir başka durumsa, üreticilerin tasarım ve özellik yarışına gömülmüş oldukları ve güvenliği göz ardı edilebilecek bir şey olarak gördükleri.

Kötü amaçlı yazılımlar gelişiyor

Pen Test Partners’ta profesyonel sızma testleri yapan Ken Muro’ya göre güvenlik sorunun bir parçası da akıllı saatlerin bağımsız olarak internete bağlanabilen kendi işletim sistemlerinin olması. Muro’ya yetkiliye göre direkt akıllı saatlere düzenlenecek saldırılar yolda. Muro şöyle diyor: “Akıllı saatler için tasarlanan uygulamaların istediği erişim o kadar geniş oluyor ki eğer saatlere kötü amaçlı bir yazılım yüklenirse çok fazla veriye ulaşmak mümkün olabilir.”

Peki, kötü amaçlı yazılım tehdidi aslında saatleri değil de onların bağlı olduğu telefonları hedef alıyor olabilir mi? Akıllı saatlerin malware yazarları tarafından doğrudan hedef alındığını gösteren veriler mi? MWR Labs’de bilgi güvenliği uzmanı olan Jahmel Harris, “Şimdilik akıllı saatlere düzenlenen fazla saldırı görmüyoruz.” diyor. Harris, akıllı saat uyumlu mobil ödeme sistemleri yaygınlaştıkça saldırıların da artacağını düşünüyor.

Harris, hem Google hem de Apple’ın kötü amaçlı yazılımların saatlerden telefonlara yayılmasına yol açacak saldırıları engellemek için geniş tedbirler aldığını ekliyor, fakat saatlere gizlice yüklenebilecek uygulamaların telefonlarda farklı işlevler edinebileceğini ve güvenlik araştırmacılarının bu tür kötü amaçlı yazılımları analiz ederken zorlanabileceğini söylüyor.

Tabii akıllı saatlerin şimdilik görece niş ürünler olduğunu unutmamak gerek. Birkaç yıl önce tahmin edildiği gibi bir patlama yapmadıkları için de henüz kötü amaçlı yazılım üretenlerin radarında değiller. Tüm azınlık işletim sistemleri gibi akıllı saat işletim sistemleri de ne kadar kişi tarafından kullanılırsa hedef alınma ihtimalleri o kadar düşük.

Akıllı telefonlar akıllı saatlerden çok daha fazla kullanıcıya sahip, daha hassas bilgiler barındırıyor, saldırılar için daha uygun olan güçlü işlemcilere sahipler ve dış ağlara doğrudan bağlantı imkânları var. “Telefon dururken akıllı saati hedef almak mantıklı değil. Hem daha zor olacak hem de karşılığı daha az olacaktır.” diyor NTT Com Security’den Chris Camejo. “Tek aklıma gelen, akıllı bir saatte istismar edilmesi çok kolay olan bir açık tespit edilmesi. Fakat öyle bir açık büyük ihtimalle üretici tarafından hızlıca giderilecektir.”

Gizlilik önemleri neler olmalı?

Kötü amaçlı yazılımlar verileriniz için bir tehdit değilse belki de siz kendiniz bir tehditsizinizdir. Bir düşünün, bileğinizde bir anda beliren bildirim ve e-postaları kimler okuyabiliyor? Ya iki faktörlü doğrulama kodlarının akıllı saatinizin ekranında belirmesi? Akıllı saatler nedeniyle istemsiz veri paylaşımı veya “omzunuzun üzerinden bakan insanlar” gizliliğinize karşı ciddi bir tehdide dönüşebilir mi? Chris Camejo, bu her zaman açık ve sürekli bileğinizde olan bu tür cihazların, cebinizde veya çantanızda duran akıllı telefonlara göre çok daha büyük bir risk oluşturduğunu düşünüyor. Akıllı saatlere gelen ve başkalarının göz ucuyla görebileceği bilgilerin aslında güvenlik riskinden çok utanç verici olması daha olası. Camejo şöyle diyor: “İki faktörlü doğrulama kodları tek başlarına bir işe yaramıyor. Saldırganın elinde PIN, parola ve sertifika gibi bir bilgi parçası daha olmalı. Yani omzunuzun üzerinden bakan kişi bir şeyler görebilse bile bu bilgi pek kullanışlı olmayacaktır.”

Bharat Mistry olaya veri gizliliği açısından bakıyor ve Camejo’ya katılmıyor: “Bu cihazlardaki kontroller henüz olgunlaşmış değil, o yüzden istemeden veri paylaşma riski yüksek. Örneğin bir kullanıcı cihazını kilitlemeyi unutursa başka insanların saat ekranına çıkıp duran bildirimleri okuması mümkün.”

Telefondaki gibi kilitli kullanım gerekli

Gerçekten de kilit ekranı gizliliğinizi korumak için şimdilik en kullanışlı savunma olarak görünüyor. Örneğin Android Wear, Android Lollipop akıllı telefonlarla aynı kilit ekranını kullanıyor. MWR’dan Jahmel Harris şöyle diyor: “Telefonunuzu kilitlediğinizde mesajlarınızın okunmasını engelleyebiliyorsunuz, oysa saat kilitlenmemişse kısa bir bakış atarak oldukça fazla bilgi görmek mümkün oluyor.”

Omuz üzerinden bakanlara istemeden verdiğiniz bilgiler size çok büyük bir problemmiş gibi gözükmüyorsa veri gizliliğimiz başka nasıl delinebilir? Verilerin Bluetooth ve kablosuz ağ üzerinden aktarılması diğer bir risk. Bu tür bir saldırının gerçekleştirilmesi için cihaza yakın olunması ve belirli bir kullanıcının hedef olarak seçilmiş olması gerekiyor. Fakat Apple’ın Apple cihazları arasında dosya paylaşımı sağlayan AirDrop teknolojisinin istenmeyen içerik göndermekte de kullanıldığını biliyoruz. Eğer Apple Watch’a da bu destek gelirse kötü niyetli mesajlar veya phishing yöntemleriyle (örn. normal gibi görünen PIN kodu, parola vb. talepleri) saldırılar gerçekleşebilir.

Belki de gizliliği tehlikeye atacak en büyük tehdit cihazın çalınması. Akıllı saatleri kaybetmek telefon kaybetmekten daha zor olsa da örneğin kordonun koptuğu ya da saati otel odanızda unuttuğunuz bir senaryoda artık risk altındasınız demektir. Context Information Security’den Scott Lester, Apple kullanıcıları için henüz bir “Saatimi Bul” özelliği olmadığını hatırlatıyor. Apple Watch gene de 10 kere yanlış kod girildiğinde saatin içeriğini silme özelliği içeriyor. Android Wear’de ise cihazı uzaktan komut vererek çalışamaz hale getirmek mümkün ama saatin içeriğini silme seçeneği yok.

Uygulama saldırısı

Son olarak, akıllı saat uygulamalarının içinde saldırılara karşı herhangi bir emniyet supabı var mı? Eset’te güvenlik uzmanı olarak çalışan Mark James’e göre uygulamalar her zaman bu piyasadaki en zayıf halka olacak.

MWR Labs’e göre uygulama geliştiricilerin çoğu, akıllı saatlerle iletişim kurmaları için akıllı telefonlarda yapılan değişikliklerden haberdar bile değiller. Android Wear, geliştiricilerin kendi uygulamalarının içine bir servis koymasını şart koşuyor ve böylece Android ile Android Wear arasında veri aktarımı sağlanan bir açıklık oluşturulmuş oluyor. Jahmel Harris’e göre teoride bu servis sadece Android Wear tarafından kullanılabilir ama root edilmiş bir giyilebilir cihazdan da servisle iletişim kurmanın mümkün olduğunu görmüşler.

Bir cihazdaki zayıflık diğer cihazları da tehlikeye attığı için root edilmiş cihazların tespiti, engellenmesi ve uyumluluk kontrollerinin yapılması hem Android hem de Android Wear için yazılan uygulamalar açısından çok önemli. MWR’ın araştırmasına göre bazı Apple Watch uygulama geliştiricileri, saatle telefon arasında hassas veri aktarımının gerçekleşebilmesi için iOS uygulamalarındaki güvenliği zayıflatıyorlar.

Uygulamaların temiz ve bilinen kaynaklardan gelmesini sağlamak akıllı saat üreticileri için büyük bir sorumluluk. Kullanıcıları korumanın tek yoluysa uygulamaların akıllı saat üreticilerinin çizdikleri çerçevede geliştirilmesi, denetlenmesi ve dağıtılması.