IoT Kahve Makinesi Fidye Talep Etmek İçin Hacklendi

9 Mart 20219 Mart 2021 Osman Selçok

Sabah kahvaltınız, kahve makinanızın bir ürün yazılımı güncellemesi sırasında şifreleme eksikliği ve tersine mühendislik nedeniyle bozulabilir.

Siber güvenlik araştırmacısı akıllı kahve makinesini fidye yazılımı ile hackliyor, para istemek için kullanıyor. Makine hacklendikten sonra kahve makinesinin yatağı, su sebili ve kahve değirmeni açıktı.

Siber güvenlik yazılım şirketi Avast’ta kıdemli bir araştırmacı olan Martin Hron, geçtiğimiz günlerde akıllı bir kahve makinesine nasıl girileceğini ve makineyi para istemek için nasıl kullanacağını keşfetti.

Hron, Smarter adlı bir şirketin akıllı telefonlarını veya tabletlerini kullanarak kahve yapmasına izin veren bir kahve makinesi kullandı. Ancak, araştırması için kullandığı kahve makinesinin üretiminin, şirketin yeni ve daha güvenli bir platforma geçtiği 2017’den önce yapıldığını söyledi.

Hron’a göre, akıllı kahve makinesi açıldıktan sonra, “umut dolu kahve içen kişinin cihazı kurmak için ilk olarak bağlandığı kendi Wi-Fi ağını yaratıyor.”

Bununla birlikte, kahve makinesinin protokolünün – veya uygulama ile makine arasında bilgi iletmek için kullandığı formun – “neredeyse hiç şifreleme, yetkilendirme veya kimlik doğrulama” içermediğini belirten Hron, kahve makinesinin başka herhangi bir güvenlik biçimi de bulunmadığı, “ağa erişimi olan ve kahve makinesinin IP adresine ulaşabilen herkes onu kontrol edebilir” dedi.

Bununla birlikte, Hron, kahve makinesini “kötü amaçlarla” kullanmak üzere gerçekten devralmak için, makinenin ürün yazılımını değiştirmeye karar verdi ve bunu yapabildi.

Hron ilk başta kahve makinesini kripto para madenciliği yapmak için kullanmak istediğini, ancak CPU’nun çok yavaş olduğunu söyledi. Bunun yerine, kahve makinesinin para istemesini sağlayacak bir “fidye yazılımı makinesi” yapmaya karar verdi.

Hron, “Tetiklendiğinde kahve makinesini kullanılamaz hale getiren ve fidye talep eden fidye yazılımı yarattık, aynı zamanda sıcak yatağı, su dağıtan ısıtma elemanını kalıcı olarak açıp öğütücüyü sonsuza kadar döndürerek fidye mesajı ve bip sesi çıkarıyor,”

Hron ayrıca “Bunun herhangi bir kullanıcıyı korkutmak ve çok stresli bir deneyim haline getirmek için yeterli olacağını düşündük” diyerek ekledi, “Bu noktada kullanıcının yapabileceği tek şey kahve makinesini elektrik prizinden çıkarmaktır.”

Kahve makinesine yapılan fidye yazılımı saldırısının bir dakikalık videosu YouTube’da yayınlandı.

Kahve Makinesinin üreticisi Smarter, şirketin cihazlarının güvenliğini 2017 yılında önemli ölçüde yükselttiğini söyleyerek aşağıdaki açıklamayı yaptı.

“Smarter, akıllı mutfak serisinin özünde en yüksek güvenlik önlemlerine sahip olmasını sağlamaya kararlıdır ve 2017’den beri satılan tüm bağlı ürünler, Ağa Bağlanabilen Cihazlar için Yazılım Siber Güvenlik için UL 2900-2-2 Standardı sertifikasına sahiptir” şirket dedi. “2016 yılında çok sınırlı sayıda birinci nesil ünite satılmıştı ve bu modeller için artık güncellemeler desteklenmese de, sürekli müşteri hizmetleri sağlamak için her türlü eski hak talebini müşteri bazında inceliyoruz.”