Dijital ev asistanı ya da akıllı hoparlör olarak tanımlanan Amazon Echo cihazını mercek altına alan siber güvenlik kuruluşu ESET, oldukça popüler olan bu aygıtların çeşitli siber tehditlere karşı savunmasız olduğunu belirledi.
ESET Güvenlik Araştırmacıları, popüler Amazon Echo cihazlarının KRACK (Key Reinstallation Attack – Anahtar Yeniden Yükleme) saldırılarına karşı güvenlik açıklarına sahip olduğunu tespit ettiler. Amazon’un geniş kitlelerce kullanılan e-kitap okuyucusu Kindle’de de benzer sorunlar saptandı.
Nasıl etkiliyor
Birinci nesil Amazon Echo ve sekizinci nesil Amazon Kindle cihazlarının iki KRACK güvenlik açığına karşı savunmasız olduğu belirlendi. Bu güvenlik açıkları saldırganın DoS saldırısı düzenlemesine, kurban tarafından iletilen veri ya da bilgilerin şifresini çözmesine, veri paketlerini taklit etmesine, cihazın veri paketlerini atmasına ve hatta yeni paketler eklemesine neden olmasına, parolalar ya da oturum çerezleri gibi hassas bilgileri engellemesine olanak verebiliyor.
Konuyu paylaşan ESET Araştırmacısı Milos Cermak, şu açıklamayı yaptı:
“Amazon cihazlarından en az üçünde birden fazla sorun saptadık. Bu sorunlar, ulaşılan satış rakamlarından dolayı geniş kapsamlı güvenlik riski teşkil edebilir. Ancak Wi-Fi ağlarını hedef alan diğer saldırılar gibi, KRACK saldırılarının etkili olabilmesi için de yakınlık olması gerektiği unutulmamalıdır.”
Wi-Fi ağlarındaki açıklar ve KRACK saldırıları
2017 yılında Mathy Vanhoef ve Frank Piessens adında iki Belçikalı araştırmacı, o zamanlarda tüm modern Wi-Fi ağlarını koruyan bir protokol olan WPA2 standardında ciddi zayıflıklar keşfetti. KRACK saldırıları, çoğunlukla dört yönlü tokalaşma mekanizmasını hedef alıyordu. Bu mekanizma, hem istemcinin hem de erişim noktasının doğru kimlik bilgilerine sahip olduğunu doğrulama ve trafiğin şifrelenmesi için kullanılan anahtarı uzlaştırma olmak üzere iki amaçla kullanılıyor. Bu olayın üzerinden iki yıl geçmiş olmasına rağmen, bugün bile birçok Wi-Fi özellikli cihaz, hâlâ KRACK saldırılarına karşı savunmasız durumda.
ESET, Echo ve Kindle’daki tüm güvenlik açıklarını bildirmiş ve Amazon’un güvenlik ekibine sorunları çözme aşamasında yardımcı olmuştur.