Vücut fonksiyonlarının ölçülmesi gibi tıbbi amaçlar için de kullanılabilen giyilebilir cihazlar genellikle BT güvenliğinde önemli boşluklara sahiptir ve iletilen sağlık verilerini korur. Bu, Federal Bilgi Teknolojisinde Federal Güvenlik Ofisi'nin (BSI) “tıbbi alt fonksiyonları olan giyilebilirlerin güvenliği” projesi hakkındaki son rapordan ortaya çıkmaktadır. Sonuçlara göre, test edilen cihazların çoğu saldırılara açıktır. Şifrelemedeki zayıflıklar, yetersiz iletişim kanalları ve zayıf kimlik doğrulama mekanizmaları, çay yemeğinin hassas bilgileri kesmesini veya manipüle etmesini sağlayabilir.
Reklamcılık
Aynı zamanda, bu tür sağlık giyilebilir ürünler için pazar hızla büyüyor ve bu da güvenlik ile ilgili olayların riskini artıran çalışmaya göre. Analiz, Siber Güvenlik Şirketi Eshard ve EESY Yenilik Geliştirme Hizmetini BSI Siparişinde gerçekleştirdi. Raporun ilk sürümü, Kasım 2023'ün sonunda otoriteye zaten mevcuttu, ancak şimdi sadece yayınladı. Bu nedenle uzmanlar “ayrıntılı bir güvenlik sınavı” için on ürün seçtiler. Bunlar arasında akıllı saatler, üç fitness izleyicisi ve bir akıllı yüzük gibi altı ağa bağlı saat vardı. Araştırmacılar, “orta” veya “yüksek” olarak sınıflandırdıkları toplam 110 güvenlik açığı ortaya koydular. Cihazların hiçbiri tamamen güvenlik boşlukları yoktu.
En sık bulunan zayıflıklar kullanıcı kimlik doğrulaması ve Bluetooth iletişimi ile ilgilidir. Birçok cihazla, testçiler bile sorgulanmamıştır. Meşru bir kullanıcının erişip erişemeyeceği kontrol edilirse, uygulamada genellikle zayıflıklar vardır. Bluetooth protokolü, portatif cihazın mobil kullanımla bağlantısı için ana kanal görevi gören sekiz kişiden yedisiyle ilgili “yüksek” güvenlik açıkları olarak ilgiliydi. Test edilen uygulamaların çoğunda, anti-kötü niyetli veya köklenmeyi tanımak için hiçbir mekanizma yoktu. Bu tür prosedürler en azından gelişmiş saldırganları korumaya ve platform tehlikeye girerse veya mobil uygulamaya saldırırsa kullanıcıların verilerini korumaya yardımcı olabilir.
Kişiselleştirilmiş siber suçtan kaynaklanan tehlikeler
Boşluklar nedeniyle, araştırmacıların güncelleme işlemi sırasında ürün yazılımını dinlemesi kısmen mümkün oldu. Daha sonra bu, bilgi sızıntısındaki imzalar veya sınavlar tarafından uygun şekilde korunmazsa, bir saldırgan tarafından analiz edilebilir ve manipüle edilebilir. Testçiler ayrıca, tek tip işletim sistemleri, yazılım ve ortak altyapıların kullanılması nedeniyle bazı zayıf noktaların tekrar tekrar meydana geldiğini buldu. Bu, “aynı anda birçok cihaza büyük ölçekli saldırılar” riskini artırır. Genel olarak, işlenen verilerin duyarlılığı göz önüne alındığında, sonuçlar genellikle “sormak ve dikkate alıyor”.
Yazarlar, bir yandan, giyilebilir cihazların karşılık gelen bir sensör sistemini kullanan kişilere yönelik saldırılar için kullanıldığı düşünülebilir. Bunlar, kendi sağlık durumlarının yanlış yargılarına yol açabilir, bu da potansiyel olarak tehlikeli bir kendi kendini bir araya getirebilir. Bu, örneğin kan şekeri seviyeleri, kan basıncı veya kandaki oksijen doygunluğunun manipüle edilmiş ölçümlerine uygulanır. Şantaj ile birlikte patlayıcı bilgilerin açıklanması da düşünülebilir. Tüketicilere, giyilebilir cihazların verilerine ve bilgilerine tam olarak güvenmemeleri hatırlatılmalıdır. 2027'nin sonundan itibaren, Siber Esneklik Yasası'na göre, sadece AB'de “dijital unsurlara sahip ürünler” siber güvenlik için minimum gereksinimlere uyuyorlarsa piyasaya çıkabilir. Bu nedenle Tuv Süd, sağlık giyilebilir ürünler üreticilerindeki bağımsız üçüncü tarafların düzenli sınavlarını uyarıyor.
(Dahe)
Reklamcılık
Aynı zamanda, bu tür sağlık giyilebilir ürünler için pazar hızla büyüyor ve bu da güvenlik ile ilgili olayların riskini artıran çalışmaya göre. Analiz, Siber Güvenlik Şirketi Eshard ve EESY Yenilik Geliştirme Hizmetini BSI Siparişinde gerçekleştirdi. Raporun ilk sürümü, Kasım 2023'ün sonunda otoriteye zaten mevcuttu, ancak şimdi sadece yayınladı. Bu nedenle uzmanlar “ayrıntılı bir güvenlik sınavı” için on ürün seçtiler. Bunlar arasında akıllı saatler, üç fitness izleyicisi ve bir akıllı yüzük gibi altı ağa bağlı saat vardı. Araştırmacılar, “orta” veya “yüksek” olarak sınıflandırdıkları toplam 110 güvenlik açığı ortaya koydular. Cihazların hiçbiri tamamen güvenlik boşlukları yoktu.
En sık bulunan zayıflıklar kullanıcı kimlik doğrulaması ve Bluetooth iletişimi ile ilgilidir. Birçok cihazla, testçiler bile sorgulanmamıştır. Meşru bir kullanıcının erişip erişemeyeceği kontrol edilirse, uygulamada genellikle zayıflıklar vardır. Bluetooth protokolü, portatif cihazın mobil kullanımla bağlantısı için ana kanal görevi gören sekiz kişiden yedisiyle ilgili “yüksek” güvenlik açıkları olarak ilgiliydi. Test edilen uygulamaların çoğunda, anti-kötü niyetli veya köklenmeyi tanımak için hiçbir mekanizma yoktu. Bu tür prosedürler en azından gelişmiş saldırganları korumaya ve platform tehlikeye girerse veya mobil uygulamaya saldırırsa kullanıcıların verilerini korumaya yardımcı olabilir.
Kişiselleştirilmiş siber suçtan kaynaklanan tehlikeler
Boşluklar nedeniyle, araştırmacıların güncelleme işlemi sırasında ürün yazılımını dinlemesi kısmen mümkün oldu. Daha sonra bu, bilgi sızıntısındaki imzalar veya sınavlar tarafından uygun şekilde korunmazsa, bir saldırgan tarafından analiz edilebilir ve manipüle edilebilir. Testçiler ayrıca, tek tip işletim sistemleri, yazılım ve ortak altyapıların kullanılması nedeniyle bazı zayıf noktaların tekrar tekrar meydana geldiğini buldu. Bu, “aynı anda birçok cihaza büyük ölçekli saldırılar” riskini artırır. Genel olarak, işlenen verilerin duyarlılığı göz önüne alındığında, sonuçlar genellikle “sormak ve dikkate alıyor”.
Yazarlar, bir yandan, giyilebilir cihazların karşılık gelen bir sensör sistemini kullanan kişilere yönelik saldırılar için kullanıldığı düşünülebilir. Bunlar, kendi sağlık durumlarının yanlış yargılarına yol açabilir, bu da potansiyel olarak tehlikeli bir kendi kendini bir araya getirebilir. Bu, örneğin kan şekeri seviyeleri, kan basıncı veya kandaki oksijen doygunluğunun manipüle edilmiş ölçümlerine uygulanır. Şantaj ile birlikte patlayıcı bilgilerin açıklanması da düşünülebilir. Tüketicilere, giyilebilir cihazların verilerine ve bilgilerine tam olarak güvenmemeleri hatırlatılmalıdır. 2027'nin sonundan itibaren, Siber Esneklik Yasası'na göre, sadece AB'de “dijital unsurlara sahip ürünler” siber güvenlik için minimum gereksinimlere uyuyorlarsa piyasaya çıkabilir. Bu nedenle Tuv Süd, sağlık giyilebilir ürünler üreticilerindeki bağımsız üçüncü tarafların düzenli sınavlarını uyarıyor.
(Dahe)