Yeni bir araştırma, dünya genelinde 80 binden fazla Hikvision marka güvenlik kamerasının, 11 aylık bir komut enjeksiyonu açığına karşı savunmasız olduğunu ortaya koydu. Hangzhou Hikvision Digital Technology'nin kısa adıyla Hikvision, Çin devletine ait bir video gözetleme ekipmanı üreticisi. Müşterileri arasında ABD de dahil olmak üzere 100'den fazla ülke bulunuyor. Oysa ABD Federal İletişim Komisyonu (FCC), 2019 yılında Hikvision'ı 'ABD ulusal güvenliği için kabul edilemez risk' olarak nitelemişti.
Geçen yıl sonbaharında, Hikvision kameralardaki bir komut enjeksiyonu açığı CVE-2021-36260 numarasıyla dünyaya duyuruldu. NIST tarafından 'kritik' olarak sınıflandırılan ve 10 üzerinden 9.8 puan alan bu güvenlik açığı, neredeyse bir yıl geçmesine rağmen hâlâ 80 binden fazla cihazda yamalanmamış durumda. Araştırmacılar, bu süreçte özellikle Rus karanlık ağı forumlarında, hackerların Hikvision kameraları sömürmek için işbirliği yapmaya çalıştıklarını ve çalıntı kimlik bilgilerinin satışa çıkarıldığını tespit etti.
Oluşan hasarın boyutu henüz net değil. Rapor yazarları, 'MISSION2025/APT41, APT10 ve bağlı gruplar ile bilinmeyen Rus tehdit aktörlerinin, bu cihazlardaki güvenlik açıklarını kendi jeopolitik hedefleri doğrultusunda kullanabileceğini' belirtiyor. Cybrary tehdit istihbaratı kıdemli direktörü David Maynor, Hikvision kameraların uzun süredir çeşitli nedenlerle savunmasız olduğunu söylüyor: 'Ürünleri, kolayca sömürülebilen sistemik güvenlik açıkları içeriyor veya daha kötüsü, varsayılan kimlik bilgileri kullanıyor. Adli bilişim yapmanın veya saldırganın sistemden çıkarıldığını doğrulamanın iyi bir yolu yok.'
Sorunun büyük bir kısmı sadece Hikvision'a özgü değil, IoT cihazlarının doğasından kaynaklanıyor. Comparitech'ten Paul Bischoff, 'IoT cihazları, telefonunuzdaki bir uygulama kadar kolay güncellenemez. Güncellemeler otomatik değil; kullanıcıların manuel olarak indirip yüklemesi gerekiyor ve birçok kullanıcı bu bildirimleri asla almıyor' diyor. Ayrıca, Hikvision kameraların kutudan çıktığı gibi önceden belirlenmiş birkaç şifreden birine sahip olması ve birçok kullanıcının bu varsayılan şifreleri değiştirmemesi, sorunu daha da büyütüyor. Zayıf güvenlik, yetersiz görünürlük ve denetim nedeniyle, bu on binlerce kameranın ne zaman veya hiç güvence altına alınabileceği belirsizliğini koruyor.