Berlin Teknik Üniversitesi araştırmacısı Altaf Shaik, mobil veri radyo frekansı standartlarındaki potansiyel güvenlik ve gizlilik konularını yıllarca inceledikten sonra, taşıyıcıların IoT verilerini geliştiriciler için erişilebilir hale getirmek için sunduğu uygulama programlama arayüzlerini (API’ler) araştırmayı merak ettiğini söyledi.
Araştırmacılar, analiz ettikleri 10 taşıyıcı için IoT planları satın aldı ve IoT cihaz ağları için yalnızca veri içeren özel SIM kartlar aldı. Bu şekilde platformlara ekosistemdeki diğer müşterilerle aynı erişime sahip oldular. Zayıf kimlik doğrulama veya eksik erişim kontrolleri gibi API’lerin kurulumundaki temel kusurların, SIM kart tanımlayıcılarını, SIM kart gizli anahtarlarını, hangi SIM kartı kimin satın aldığını ve fatura bilgilerini ortaya çıkarabileceğini buldular. Bazı durumlarda araştırmacılar, diğer kullanıcıların verilerinin büyük akışlarına bile erişebilir ve hatta kontrol etmemeleri gereken komutları göndererek veya yeniden yürüterek IoT cihazlarını tanımlayabilir ve bunlara erişebilir.
Araştırmacılar, test ettikleri 10 taşıyıcı ile ifşa süreçlerinden geçti ve şu ana kadar buldukları güvenlik açıklarının çoğunun giderildiğini söyledi. Shaik, IoT hizmet platformlarındaki güvenlik korumalarının kalitesinin büyük ölçüde değiştiğini, bazılarının daha olgun göründüğünü, bazılarının ise “hâlâ aynı eski, kötü güvenlik politikalarına ve ilkelerine bağlı kaldığını” belirtiyor. Grubun, sorunların ne kadar yaygın olabileceğine dair endişeler nedeniyle bu çalışmada baktıkları taşıyıcıları kamuya açıklamadığını da ekliyor. Taşıyıcıların yedisi Avrupa’da, ikisi ABD’de ve biri Asya’da bulunuyor.