Evin akıllıları sizi gözlüyor

Eren Koca – Dünya çapında milyonlarca evde kullanılan robot süpürgedeki kritik güvenlik açığı, evde kullandığımız kamerası, mikrofonu ve beyni olan diğer cihazlara da aynı şekilde erişilebileceği endişesini ortaya çıkardı. İspanyol yazılımcı Sammy Azdoufal, kendi DJI Romo robot süpürgesini PlayStation 5 kumandasıyla kontrol etmek isterken Claude AI yardımıyla geliştirdiği uygulama sayesinde hiç yetkilendirme gerekmeden dünya genelinde 24 ülkede yaklaşık 7 bin cihaza erişim sağladı. Şirketin sunucularından kendi cihazı için aldığı erişim anahtarının, diğer tüm kullanıcıların verilerine de erişim sağladığını tespit eden Azdoufal, cihazın güvenlik kodunun tamamen atlanabildiğini ve eşleştirme yapmadan bile kameraya ulaşılabildiğini belirledi. DJI iki yama yayınladığı ancak bazı açıkların hala giderilmediği belirtiliyor.

Evinizin en özel anlarından kat planına kadar tüm verilerin savunmasız kaldığı bu skandal, “akıllı” yardımcılarımızın aslında ne kadar güvenli olduğu sorusunu yeniden gündeme getirdi. Peki, bilgisayar, televizyon ve ev eşyalarına görüntü alınabilir mi? görüntü alınabilir mi? Uzmanlar Milliyet’e anlattı.

Veri güvenliği riski

Uzmanlar, yeterli güvenlik önlemleri alınmaması halinde bu tür cihazların ciddi gizlilik riskleri oluşturabileceğine dikkati çekti. Bilgisayar, televizyon ve ev eşyaları (akıllı süpürgeler, beyaz eşyalar) görüntü alınabileceğini belirten Bilişim Uzmanı Osman Demircan, “Bir cihazda kamera varsa, güvenlik açığı veya hesap ele geçirme gibi bir durum söz konusu olduğunda görüntüye erişim riski doğabiliyor. Çoğu zaman uzaktan kod çalıştırarak bile kameralara ulaşmak mümükün. Bu nedenle bilgisayarlar (webcam), bazı akıllı TV modelleri ve kamera tabanlı çalışan bazı robot süpürgeler bu açıdan daha yüksek risk taşıyabilir. Buna karşılık birçok beyaz eşyada kamera bulunmaz. Kamera olmayan cihazlardan doğal olarak görüntü alınamaz fakat bu cihazlar yine de başka veriler üretebilir. Örneğin; kullanım alışkanlıkları, cihazın ne zaman çalıştığı, ağa bağlı cihaz bilgileri veya bazı durumlarda ev içi düzen hakkında dolaylı veriler risk oluşturabilir. Özellikle robot süpürgelerde yalnızca görüntü değil, evin planı ve oda haritaları gibi mahremiyet açısından hassas bilgiler de önemlidir” dedi.

Demircan, “Burada dikkat edilmesi gereken nokta şudur, risk yalnızca cihazın kendisinden kaynaklanmaz. Güvenlik açığı cihazın yazılımında, üreticinin bulut altyapısında veya kullanıcının ev ağındaki zayıf ayarlarda da olabilir. Bu yüzden konuya sadece ‘kamera var mı, yok mu?’ diye düşünmemeliyiz. Cihazın hangi verileri topladığı, nereye gönderdiği ve nasıl korunduğu açısından bakmak gerekir. Her akıllı cihaz aynı seviyede risk taşımaz. Ancak kamera veya mikrofon içeren, internete bağlı ve bulut üzerinden yönetilen cihazlarda mahremiyet ve veri güvenliği riski çok daha yüksektir” diye konuştu.

Otomobillere de erişim mümkün

Akıllı otomobillerin de benzer riskler taşıdığını dile getiren Demircan şunları söyledi:

“Arabaya erişim bazı durumlarda mümkün olabilir. Erişim her zaman aracın tamamen uzaktan kontrol edilmesi anlamına gelmez. Çoğu vakada önce araçla ilişkili hesap, uygulama veya veri erişimi söz konusu olur. Günümüzde birçok araç mobil uygulamalar ve bulut sistemleriyle bağlantılı çalışıyor. Bu nedenle güvenlik açığı, aracın konum bilgisi, kapı kilidi, uzaktan çalıştırma, klima kontrolü veya araç telemetri verileri gibi işlevlere erişim riskini doğurabilir. Kamuoyunda en çok dikkat çeken senaryo olan, aracı uzaktan tamamen sürmek gibi ileri düzey kontroller iddialarıdır. Konum takibi, uzaktan komut verilmesi veya araç sahibinin hesabına erişilmesi bile ciddi güvenlik ve mahremiyet sonuçları doğurabilir.”

Veri güvenliğinden üretici şirket sorumlu

Akıllı ev cihazlarında ortaya çıkan bu olay, klasik bir “hack” vakasından ziyade geliştirici, üretici ve kullanıcı güvenliği bakımından çok katmanlı bir hukuk sorununu. Binlerce cihaza erişim sağlanması, Türkiye de dahil birçok hukuk sisteminde bilişim sistemine izinsiz girme, kişisel verilerin hukuka aykırı elde edilmesi ve özel hayatın gizliliğinin ihlali kapsamında değerlendirilmektedir. Geliştiricinin teknik merak veya güvenlik testi amacı taşıması tek başına hukuki sorumluluğu ortadan kaldırmaz. Ayrıca, kamera ve mikrofon gibi hassas veri toplayan akıllı cihazlarda ciddi güvenlik açıklarının bulunması halinde, üretici şirketlerin de veri güvenliğini sağlama yükümlülüğü, ayıplı ürün sorumluluğu ve tüketicinin korunması hukuku açısından sorumlulukları gündeme gelebilir.

‘Delil olamaz’

Bu şekilde elde edilen görüntü ve ses kayıtları delil olarak kullanılmaz. Ayrıca akıllı cihazların üçüncü taraf yazılım veya yetkisiz modifikasyonlarla kontrol edilmesi, üreticilerin kullanım şartlarını ihlal edebileceğinden sözleşmeye dayalı yaptırımlara da yol açabilir. Bu olay, asıl tartışmanın hackerlardan daha ziyade, akıllı cihaz üreticilerinin güvenlik tasarımı, sürekli güncelleme yükümlülüğü ve kullanıcı verisinin korunmasına ilişkin hukuki standartların yeniden tanımlanması zorunluluğunu ortaya koyuyor.

Alınabilecek önlemler

• Robot süpürge, kamera, akıllı TV, priz, ampul gibi cihazlar mümkünse ayrı bir Wi-Fi ağına (aynı modemde 2. bir ağ) bağlanmalı.
• Telefon, bilgisayar ve iş cihazları farklı ağda tutulmalıdır. Böylece bir cihaz ele geçirilse bile diğer cihazlara sıçrama riski azalmış olur.
• Varsayılan şifreler mutlaka değiştirilmesi gerekiyor. Her cihaz ve hesap için farklı ve güçlü şifre kullanılmalı.
• Cihaz yazılımlarının (firmware) güncel tutulması da kritik önemler arasında.
• Kullanıcılar ayrıca ihtiyaç yoksa uzaktan erişim özelliklerini kapatmalı, kamera/mikrofon içeren cihazlarda mahremiyet odaklı kullanım tercih edilmelidir.

Kaynak: Milliyet