Giyilebilir aygıtların data transfer protokolünde 33 güvenlik açığı bulundu

Kaspersky uzmanları, uzaktan hasta izleme için kullanılan giyilebilir aygıtlardan bilgi transferi için yaygın olarak kullanılan protokolün, sadece 2021’de, 19’u “kritik güvenlik açığı” olmak üzere 33 güvenlik açığı içerdiğini keşfetti. Bu, 2020’dekinden 10 tane daha fazla kritik güvenlik açığına karşılık geliyor ve birçoklarının yamasız kalması kelam konusu. Bu güvenlik açıklarından kimileri, saldırganlara aygıttan çevrimiçi olarak gönderilen bilgilere erişebilme imkanı veriyor.

Pandemi sıhhat dalının süratli bir halde dijitalleşmesine yol açtı. Hastaneler ve sıhhat işçisi bunalmış ve birçok insan meskende karantinaya alınmışken, kuruluşlar hasta bakımının nasıl sağlanacağını yine düşünmek zorunda kaldı. Son Kaspersky araştırması, global sıhhat hizmeti sağlayıcılarının 91’inin tele-sağlık özelliklerini uyguladığını ortaya çıkardı. Lakin bu süratli dijitalleşme, bilhassa hasta dataları kelam konusu olduğunda yeni güvenlik risklerine neden oluyor.

Telesağlığın bir kısmı, giyilebilir aygıtlar ve monitörler kullanılarak yapılan uzaktan hasta izlemeyi içeriyor. Bunlar hastanın kardiyak aktivite üzere sıhhat göstergelerini daima yahut aralıklarla takip edebilen aygıtları içeriyor.

MQTT (Message Queuing Telemetry Transport-Mesaj Sıralama İzleme Aktarma) protokolü, kolay ve kullanışlı olduğu için giyilebilir aygıtlardan ve sensörlerden bilgi transferi için kullanılan en yaygın protokol. Bu yüzden yalnızca giyilebilir aygıtlarda değil, çabucak hemen her akıllı aygıtta bulunabiliyor. Ne yazık ki MQTT kullanırken kimlik doğrulama büsbütün isteğe bağlı ve nadiren şifreleme içeriyor. Bu, MQTT’yi üçüncü bir kişinin ortaya girerek bağlantıya müdahale edebildiği tipten taarruzlara epey hassas hale getiriyor. Yani internet üzerinden aktarılan rastgele bir bilgi çalışabilme riskiyle karşı karşıya kalıyor. Giyilebilir aygıtlar kelam konusu olduğunda, bu bilgiler son derece hassas tıbbi bilgileri, şahsî bilgileri ve bir kişinin hareketlerini içerebiliyor.

2014’ten bu yana, MQTT’de kritik olanlar da dahil olmak üzere 90 güvenlik açığı keşfedildi ve bunların birden fazla bugüne kadar yamalanmamış durumda. 2021’de bunlara 18’i kritik olmak üzere yeni keşfedilen 33 güvenlik açığı eklendi (2020’dekinden 10 daha fazla). Bu güvenlik açıklarının tümü, hastaları datalarının çalınması riskiyle karşı karşıya bırakıyor.

Kaspersky araştırmacıları sırf MQTT protokolünde değil, birebir vakitte giyilebilir aygıtlar için en tanınan platformlardan biri olan Qualcomm Snapdragon Giyilebilir platformunda da güvenlik açıkları buldu. Platformun piyasaya sürülmesinden bu yana 400’den fazla güvenlik açığı bulundu ve bunların tümü yamanmış değil.

Birçok giyilebilir aygıtın hem sıhhat datalarınızı hem de pozisyonunuzu ve hareketlerinizi takip ettiğini belirtmekte yarar var. Bu, sırf bilgileri çalmakla kalmayıp tıpkı vakitte potansiyel olarak takip edilebilme olasılığınızı da gündeme getiriyor.

Kaspersky Rusya Global Araştırma ve Tahlil Takımı (GReAT) Lideri Maria Namestnikova, şunları söylüyor: “Salgın telesağlık pazarında keskin bir büyümeye yol açtı. Bu yalnızca hekiminizle görüntü yazılımı aracılığıyla irtibat kurmayı içermiyor. Özel uygulamalar, giyilebilir aygıtlar, implant sensörler ve bulut tabanlı veritabanları dahil olmak üzere bir dizi karmaşık, süratle gelişen teknoloji ve eserden bahsediyoruz. Bununla birlikte birçok hastane hasta bilgilerini depolamak için hala test edilmemiş üçüncü taraf hizmetleri kullanıyor ve sıhhat bakımı için giyilebilir aygıtlar ve sensörlerdeki güvenlik açıkları yamanmamış olarak kalıyor. Bu cins aygıtları uygulamadan evvel, şirketinizin ve hastalarınızın bilgilerini inançta tutmak için güvenlik seviyeleri hakkında mümkün olduğunca çok şey öğrenmeye bakın.

Telesağlık hizmetlerinin global olarak benimsenmesi hakkında daha fazla bilgi edinmek için Kaspersky’nin global anketine göz atabilirsiniz.

Hasta bilgilerini inançta tutmak için Kaspersky, sıhhat hizmeti sağlayıcılarına şunları öneriyor:

  • Hastane yahut tıbbi kuruluş tarafından önerilen uygulama yahut aygıtın güvenliğini denetim edin.
  • Mümkünse telesağlık uygulamaları tarafından aktarılan bilgileri en aza indirin. Gerekli değilse aygıtın pozisyon bilgilerini göndermesine müsaade vermeyin.
  • Varsayılan parolaları değiştirin ve aygıt destekliyorsa şifreleme kullanın.

Kaynak: (BHA) – Beyaz Haber Ajansı

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.