Bu hikaye, 4 Mayıs 2022 tarihinde Erman ATEŞ isimli bir okurumdan aldığım e-posta ile başladı. Bilinçli ve duyarlı bir baba olan Erman Bey göndermiş olduğu e-postada, akıllı çocuk saatlerinin bir çok ebeveyn tarafından haklı gerekçelerle tercih edilmeye başlandığını ancak yazılım, güvenlik ve mahremiyet açısından hem bir standarda tabi olmamaları hem de Instagram’da gördüğü bir mesaj nedeniyle tüm ebeveynler adına endişe duymaya başladığını ve bu nedenle de bu konuya mercek tutmamı rica etmişti. Instagram Dolandırıcıları, Arka Kapı Avı, Tuzak Sistem ile Hacker Avı blog yazılarımda olduğu gibi okurlarına her daim kulak veren bir güvenlik araştırmacısı olarak toplumsal fayda ve bilgi güvenliği farkındalığı adına bu konuya eğilmeye karar verdim.

Child Smartwatch

Aşağıdaki fotoğrafa bakıldığında akıllı çocuk saatleri gerçekten ebeveynler için çocuklarını gözetim altında tutmak için faydalanabilecekleri büyük bir teknolojik nimet mi ?

Child Smartwatch

Yoksa aşağıdaki diğer bir fotoğrafa bakıldığında ebeveynlerin, kendilerinin ve çocuklarının mahremiyetini, özel hayatlarının gizliliğini istemeden de olsa tehlikeye attıkları, ortam dinlemeye imkan tanıyan saat görünümlü potansiyel casus bir cihaz mı ?

Child Smartwatch

Bu sorulara yanıt bulmak için ilk olarak güvenlik araştırmamda kullanmak üzere fiyat açısından uygun olan bir çocuk saati satın almaya karar verdim. Bunun için Hepsiburada, Trendyol gibi alışveriş sitelerindeki Akıllı Çocuk Saatleri kategorilerini incelemeye başladım. En çok satılan, yorum ve değerlendirme yapılan saatlere baktıktan sonra 1000‘e yakın değerlendirmesi olan bir marka ve modelde karar kılıp, satın aldım.

Child Smartwatch
Child Smartwatch
Child Smartwatch
Child Smartwatch

Saati kutusundan çıkarıp, kurulum kılavuzunu incelediğimde, saati uzaktan yönetebilmek için Çinli 3G Electronics isimli bir şirket tarafından geliştirilen Android veya iOS mobil uygulamasının kurulmasının gerektiği belirtiliyordu.

Child Smartwatch

SeTracker2 isimli uygulamanın topladığı bilgilere baktığımızda lokasyon, ses ve görüntü kaydından, rehbere, isim, cep telefonu ve e-posta adresine kadar kişiye özel, hassas, mahrem sayılabilecek bilgiler olduğunu gördüm.

Saate SIM kartı takıp, çalıştırdıktan sonra SeTracker2 uygulamasını açıp, kayıt oldum. Daha sonra uygulamaya ile saati eşleştirdikten sonra uygulamayı ve menü adımlarını incelemeye başladım.

Child Smartwatch
Child Smartwatch
Child Smartwatch

Uygulamada öncelikle dikkatimi çeken nokta, saatin harita üzerinden anlık olarak izlenebilmesi daha sonra ise Takip Numarası ve uzaktan kamera menü adımları oldu. Uzaktan kamera menüsü üzerinden saatteki kamera ile istediğiniz zaman fotoğraf çekilebiliyorsunuz. Bu esnada saat herhangi bir görsel veya işitsel bir uyarı oluşturmuyor. Takip numarası menüsü ile ise saatin girilen cep telefonu numarasını aramasını sağlayabiliyorsunuz ve saatteki mikrofon sayesinde de ortam dinlemesi yapılabiliyor. Bu esnada yine uzaktan kamera adımında olduğu gibi telefon, ortam dinlemesi yapıldığına dair herhangi bir uyarı vermiyor.

Child Smartwatch
Child Smartwatch
Child Smartwatch





“E ne güzel işte Mert, çocuğumuzu anlık olarak izleyebilir ve dinleyebiliriz” diye düşünüyor olabilirsiniz. Peki SeTracker2 uygulamasına giriş için kullandığınız e-posta adresinizi ve içinde özel karakter bile kullanarak güçlendiremediğiniz parolanızın bir an olsun art niyetli kişiler tarafından çalındığını veya tahmin edildiğini düşünelim. Art niyetli kişi, çocuğunuzun kolundaki saate uygulama üzerinden bağlanarak konumunu anlık olarak izleyebilir, fotoğrafını çekebilir, mesaj gönderebilir, gönderdiği mesajı silip geride iz bırakmayabilir, saatin belirttiği telefon numarasını aramasını sağlayarak ortam dinlemesi yaparak mahremiyetinizi, özel hayatınızın gizliliğini ihlal edebilir. Ayrıca art niyetli kişi tarafından gerçekleştirilen tüm bu işlemlerin iz kaydına (log) SeTracker2 uygulaması üzerinden ulaşma şansınızın olmadığının da altını çizeyim!

“Mert ben çok dikkatliyim, temkinliyim, kolay kolay dolandırıcıların ağına düşmem” de diyebilirsiniz. Aynı parolayı birden fazla web sitesine giriş esnasında kullanıyorsanız, o web sitelerinden biri çoktan hacklenmiş ve kullanıcı adınız/e-posta ve parolanız ele geçirilmiş olabilir. Çok Faktörlü Kimlik Doğrulaması (MFA) kullanmadığınız durumda (SeTracker2 uygulaması MFA desteklemiyor!) art niyetli kişilerin elde ettiği bu bilgilerle hesabınızın olduğu web sitelerine, mobil uygulamalara (SeTracker2 uygulaması gibi) rahatlıkla giriş yapılabileceğini unutmayın!

Çok faktörlü kimlik doğrulaması (MFA), kullanıcıların yalnızca bir paroladan daha fazla bilgi girmesini gerektiren, hesapta çok adımlı oturum açma sürecidir. Örneğin, kullanıcılardan parolanın yanı sıra e-posta adreslerine, cep telefonlarında gönderilen bir kodu (internet şubeye girişte olduğu gibi) girmeleri, mobil uygulamaya gönderilen bir isteği kabul etmeleri, gizli bir soruyu yanıtlamaları ya da parmak izlerini taratmaları istenebilir. İkinci bir doğrulama yöntemi, art niyetli kişilerin parolasını ele geçirildiği kullanıcıların hesaplarına yetkisiz erişmesini önlemeye yardımcı olmaktadır.

Bir diğer önemli konu ise ortam dinlemesi özelliğine sahip saatler kullanarak istemeden de olsa çocuğunuz üzerinden suç işliyor olabilirsiniz. Hukukçu olmasam da 5237 Sayılı Türk Ceza Kanunu’nun “Kişiler Arasındaki Konuşmaların dinlenmesi ve kayda alınması” başlıklı 133. maddesine dikkatinizi çekmek isterim:

(1) Kişiler arasındaki aleni olmayan konuşmaları, taraflardan herhangi birinin rızası olmaksızın bir aletle dinleyen veya bunları bir ses alma cihazı ile kaydeden kişi, iki yıldan beş yıla kadar hapis cezası ile cezalandırılır.

(2) Katıldığı aleni olmayan bir söyleşiyi, diğer konuşanların rızası olmadan ses alma cihazı ile kayda alan kişi, altı aydan iki yıla kadar hapis veya adlî para cezası ile cezalandırılır.

(3) (Değişik: 2/7/2012-6352/80 md.) Kişiler arasındaki aleni olmayan konuşmaların kaydedilmesi suretiyle elde edilen verileri hukuka aykırı olarak ifşa eden kişi, iki yıldan beş yıla kadar hapis ve dörtbin güne kadar adlî para cezası ile cezalandırılır. İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.

Tahminimce başta Koş Mert Koş başlıklı blog yazım olmak üzere, güvenlik araştırmalarıma aşina olanlarınızın bu yazımda tersine mühendislikle, statik ve dinamik kod analizi ile SeTracker2 uygulamasını analiz edip tespit ettiğim zafiyetlerin nasıl kötüye kullanılabileceğini göstermemi veya saatte keşfettiğim donanımsal bir zafiyet ile saatin nasıl casus bir cihaza dönüştürebildiğini görmeyi umuyorlardı. Tüm bu anlattıklarımdan sonra bunca zahmete girmeden bu saatin, SeTracker2 uygulaması sayesinde art niyetli kişilere kötüye kullanım için davetiye çıkardığını, ebeveynler ve çocukları için büyük bir tehlike oluşturduklarını net olarak aktarabildiğimi düşünüyorum. :) Yine de uygulama ile ilgili teknik bilgi edinmek isteyenler var ise önceki yıllarda yapılmış olan çalışmalar için buraya ve de buraya göz atabilirler.

Umuyorum ki 2017 yılında Almanya’nın aldığı bu örnek karar gibi otoritelerimiz de benzer bir karar alarak, yasa dışı ortam dinlemesi yapma özelliğine sahip olan bu saat görünümlü potansiyel casus cihazların alışveriş sitelerinde satışını engelleyerek, ebeveynleri ve çocukları bu tür tehlikelerden korumak için önemli bir adım atarlar.

Bu bilgiler ışığında, ortam dinlemesi yapabilen akıllı çocuk saatleri kullanacaklara risklerini bilerek kullanmalarını tavsiye ettikten sonra siz sevgili okurlarımdan farkındalık yaratma adına bu yazıyı ebeveyn olan arkadaşlarınızla, dostlarınızla ve sevdiklerinizle paylaşmanızı önemle rica ederim.

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

Not: Teknik okurlarım için de SeTracker2 uygulamasında SSL Pinning yönteminin kullanıldığını, HTTPS trafiğini analiz etmek için PCAPdroid isimli bir Android uygulaması sayesinde basit bir şekilde trafiği kayıt altına aldığımı ve daha sonrasında da Wireshark aracı ile analiz edebildiğimi de paylaşayım.

Child Smartwatch
Child Smartwatch


Child Smartwatch
Child Smartwatch

Yazıyı PDF formatında indirmek için tıklayın.