İncelenen iki ağ bağlantılı depolama modeli, farklı tedarikçilere aitti, bunlar bir Akıllı TV, bir uydu alıcısı ve bağlantılı bir yazıcıydı. Araştırmasının sonucu olarak Kaspersky Lab Güvenlik Analisti David Jacoby, ağa bağlı depolarda 14 zayıf nokta bulmayı başardı, bu zayıf noktalardan biri Akıllı TV’de, potansiyel olarak gizli pek çok uzaktan kumanda fonksiyonu ise yönelticide bulundu.
Gizlilik ilkesi doğrultusunda Kaspersky Lab, zayıf noktaları kapatan bir güvenlik yaması piyasaya sürülene kadar ürünleri araştırmaya tabi olan tedarikçilerin adlarını açıklamayacak. Ancak bütün bu tedarikçiler, zayıf noktaların varlığından haberdar edildi. Kaspersky Lab uzmanları, keşfettikleri bütün zayıf noktaları ortadan kaldırmak için tedarikçilerle yakın işbirliği içinde çalışıyor.
Araştırmanın yazarı David Jacoby, şunları söylüyor: “Bireylerin ve şirketlerin bağlantılı cihazların çevresindeki güvenlik risklerini anlaması gerekiyor. Ayrıca sadece güçlü bir parolamız olduğu için bilgilerimizin güvende olmadığını ve kontrol edemeyeceğimiz pek çok şeyin bulunduğunu hesaba katmalıyız. Güvenli bir cihaz gibi görünen ve hatta kendi adında güvenlik kelimesini çağrıştıran bir cihazda son derece ciddi zayıf noktalar bulmam ve bunları doğrulamam 20 dakikadan daha az zamanımı aldı. Peki benim oturma odamdan çok daha geniş bir ölçekte yapılmış olsaydı, benzer bir araştırma nasıl sonuçlanırdı? Bu, cihaz tedarikçilerinin ve bu cihazların güvenlik topluluklarının ve kullanıcılarının en yakın zamanda birlikte cevaplaması gereken pek çok sorudan sadece biri. Diğer bir önemli soru ise, cihazların kullanım ömrü. Tedarikçilerle yaptığım görüşmelerden öğrendiğim kadarıyla, bazı tedarikçiler kullanım ömrü dolduğu zaman zayıf noktaları bulunan bir cihaz için bir güvenlik yaması geliştirmeyecek. Genellikle bu kullanım ömrü bir ya da iki yıl sürer ancak cihazların, örneğin NAS‘lerin, gerçek ömrü bundan çok daha uzundur” şeklinde konuştu.
Zayıf parolalar büyük tehlike
En ciddi zayıf noktalar, ağa bağlı depolarda bulundu. Bunların pek çoğu, bir saldırganın sistem komutlarını yönetici öncelikleriyle uzaktan yürütmesine izin veriyordu. Zayıf parolalara ve yanlış izinleri olan pek çok konfigürasyon dosyasına sahip olan test edilen cihazların parolaları düz metin içerisinde barındırıyorlardı. Örneğin test edilen bir cihaz, şifrelenmiş parolaları içeren bütün konfigürasyon dosyasını ağ üzerindeki herkesle paylaşıyordu.