bencede
New member
Vücut fonksiyonlarının ölçümü gibi tıbbi amaçlar için de kullanılabilen giyilebilir cihazlar, genellikle BT güvenliğinde önemli boşluklara sahiptir ve iletilen sağlık verilerinin korunmasıdır. Bu, Bilgi Teknolojisinde Federal Güvenlik Ofisi'nin (BSI) “Tıbbi Alt Enfonksiyonlu Giyilebilir Cihazların Güvenliği” (SIWEMED) projesi hakkındaki son rapordan ortaya çıkmaktadır. Sonuçlara göre, test edilen cihazların çoğu saldırılara açıktır. Şifreleme, yeterince güvenli iletişim kanalları ve zayıf kimlik doğrulama mekanizmalarındaki zayıf yönler, çay yemeğinin hassas bilgileri kesmesine veya manipüle etmesine izin verebilir.
Duyuru
Aynı zamanda, bu sağlık kıyafetlerinin pazarı, güvenlik ile ilgili kaza riskini artıran çalışmaya göre hızla büyüyor. Analiz, BT güvenlik şirketi Eshard ve BSI Siparişinde EESY Innovation Development Hizmetini gerçekleştirdi. Raporun ilk sürümü Kasım 2023'ün sonunda otorite için zaten mevcuttu, ancak sadece şimdi yayınladı. Uzmanlar daha sonra “ayrıntılı bir güvenlik sınavı” için on ürün seçtiler. Bunlar arasında bir akıllı saat, üç izleyici fitness ve akıllı bir yüzük olarak ağda altı saat vardı. Araştırmacılar, “orta” veya “yüksek” olarak sıralanan toplam 110 güvenlik açıkını ortaya çıkardılar. Cihazların hiçbiri tamamen güvenlik boşluklarından yoksun değildi.
En sık bulunan zayıflıklar kullanıcı kimlik doğrulaması ve Bluetooth iletişimi ile ilgilidir. Birçok cihazla, testçiler bile sorgulanmamıştır. Meşru bir kullanıcının erişimi varsa doğrulanırsa, uygulamada genellikle zayıf noktalar vardır. Bluetooth protokolü, taşınabilir cihazın mobil kullanımla bağlantısı için ana kanal görevi gören sekiz “yüksek” güvenlik açıklarından yedisi ile ilgilidir. Test edilen uygulamaların çoğunda da kötü niyetli kök veya tanıma mekanizmaları yoktu. Bu prosedürler en azından gelişmiş saldırganlardan kaçınmaya yardımcı olabilir ve platform tehlikeye girerse veya mobil uygulamaya saldırırsa kullanıcı verilerini koruyabilir.
Kişiselleştirilmiş Bilgisayar Suçundan Tehlikeler
Boşluklar nedeniyle, araştırmacıların güncelleme işlemi sırasında ürün yazılımını dinlemeleri kısmen mümkün oldu. Bilgi kaybı ile ilgili imzalar veya sınavlar tarafından yeterince korunmazsa, bu bir saldırgan tarafından analiz edilebilir ve manipüle edilebilir. Test cihazları ayrıca, tek tip işletim sistemleri, yazılım ve ortak altyapıların kullanılması nedeniyle bazı zayıf noktaların tekrar tekrar meydana geldiğini keşfettiler. Bu, “aynı anda birçok cihaza büyük ölçekli saldırılar” riskini artırır. Genel olarak, işlenen verilerin duyarlılığı göz önüne alındığında, sonuçlar genellikle “sormak ve dikkate alıyor”.
Bir yandan, giyilebilir cihazların özel olarak ilgili bir sensör sistemi kullanan kişilere yönelik saldırılar için kullanıldığı düşünülebilir, yazarları açıklar. Bunlar, potansiyel olarak tehlikeli araba medyasına yol açabilecek kendi sağlık durumlarının yanlış hakimlerine yol açabilir. Bu, örneğin, kan şekeri seviyelerinin manipüle edilmiş ölçümleri, kan basıncı veya kandaki oksijen doygunluğudur. Şantaj ile birlikte patlayıcı bilgilerin yayılması da düşünülebilir. Tüketicilerin giyilebilir cihazların verilerine ve bilgilerine tamamen güvenmemeleri hatırlanmalıdır. 2027 yılının sonundan bu yana, Siber Esneklik Yasası'na göre, bilgisayar güvenliği için asgari gereksinimlere uymaları halinde sadece AB'deki “dijital unsurlara sahip ürünler” piyasaya çıkabilir. Bu nedenle Tuv Süd, bağımsız fagnable üreticilerindeki düzenli üçüncü taraf sınavlarını uyarır.
(Dahe)
Duyuru
Aynı zamanda, bu sağlık kıyafetlerinin pazarı, güvenlik ile ilgili kaza riskini artıran çalışmaya göre hızla büyüyor. Analiz, BT güvenlik şirketi Eshard ve BSI Siparişinde EESY Innovation Development Hizmetini gerçekleştirdi. Raporun ilk sürümü Kasım 2023'ün sonunda otorite için zaten mevcuttu, ancak sadece şimdi yayınladı. Uzmanlar daha sonra “ayrıntılı bir güvenlik sınavı” için on ürün seçtiler. Bunlar arasında bir akıllı saat, üç izleyici fitness ve akıllı bir yüzük olarak ağda altı saat vardı. Araştırmacılar, “orta” veya “yüksek” olarak sıralanan toplam 110 güvenlik açıkını ortaya çıkardılar. Cihazların hiçbiri tamamen güvenlik boşluklarından yoksun değildi.
En sık bulunan zayıflıklar kullanıcı kimlik doğrulaması ve Bluetooth iletişimi ile ilgilidir. Birçok cihazla, testçiler bile sorgulanmamıştır. Meşru bir kullanıcının erişimi varsa doğrulanırsa, uygulamada genellikle zayıf noktalar vardır. Bluetooth protokolü, taşınabilir cihazın mobil kullanımla bağlantısı için ana kanal görevi gören sekiz “yüksek” güvenlik açıklarından yedisi ile ilgilidir. Test edilen uygulamaların çoğunda da kötü niyetli kök veya tanıma mekanizmaları yoktu. Bu prosedürler en azından gelişmiş saldırganlardan kaçınmaya yardımcı olabilir ve platform tehlikeye girerse veya mobil uygulamaya saldırırsa kullanıcı verilerini koruyabilir.
Kişiselleştirilmiş Bilgisayar Suçundan Tehlikeler
Boşluklar nedeniyle, araştırmacıların güncelleme işlemi sırasında ürün yazılımını dinlemeleri kısmen mümkün oldu. Bilgi kaybı ile ilgili imzalar veya sınavlar tarafından yeterince korunmazsa, bu bir saldırgan tarafından analiz edilebilir ve manipüle edilebilir. Test cihazları ayrıca, tek tip işletim sistemleri, yazılım ve ortak altyapıların kullanılması nedeniyle bazı zayıf noktaların tekrar tekrar meydana geldiğini keşfettiler. Bu, “aynı anda birçok cihaza büyük ölçekli saldırılar” riskini artırır. Genel olarak, işlenen verilerin duyarlılığı göz önüne alındığında, sonuçlar genellikle “sormak ve dikkate alıyor”.
Bir yandan, giyilebilir cihazların özel olarak ilgili bir sensör sistemi kullanan kişilere yönelik saldırılar için kullanıldığı düşünülebilir, yazarları açıklar. Bunlar, potansiyel olarak tehlikeli araba medyasına yol açabilecek kendi sağlık durumlarının yanlış hakimlerine yol açabilir. Bu, örneğin, kan şekeri seviyelerinin manipüle edilmiş ölçümleri, kan basıncı veya kandaki oksijen doygunluğudur. Şantaj ile birlikte patlayıcı bilgilerin yayılması da düşünülebilir. Tüketicilerin giyilebilir cihazların verilerine ve bilgilerine tamamen güvenmemeleri hatırlanmalıdır. 2027 yılının sonundan bu yana, Siber Esneklik Yasası'na göre, bilgisayar güvenliği için asgari gereksinimlere uymaları halinde sadece AB'deki “dijital unsurlara sahip ürünler” piyasaya çıkabilir. Bu nedenle Tuv Süd, bağımsız fagnable üreticilerindeki düzenli üçüncü taraf sınavlarını uyarır.
(Dahe)