Teknoloji dünyasında güvenlik açıkları her zaman önemli bir gündem maddesi olmuştur. Ancak, 2014 yılında ortaya çıkan ve Pixie Dust olarak bilinen bir kablosuz ağ güvenlik açığının, tam 11 yıl sonra bile bazı üreticilerin cihazlarında hala giderilmediği ortaya çıktı. Yapılan bir araştırmaya göre, altı farklı üreticinin toplam 24 farklı cihazında, bu eski güvenlik açığına karşı savunmasızlık tespit edildi. Bu cihazlar arasında modemler, menzil genişleticiler ve erişim noktaları gibi sıkça kullanılan ağ ürünleri bulunuyor.
Yapılan incelemelerde, en eski savunmasız firmware sürümünün bile Pixie Dust açığının halka açık bir şekilde duyurulmasından yaklaşık üç yıl sonra, Eylül 2017'de piyasaya sürüldüğü belirtiliyor. Ortalama olarak, savunmasız ürünlerin, açığın ilk ortaya çıkışından 7.7 yıl sonra piyasaya sürüldüğü gözlemlenmiş.
Pixie Dust açığı, saldırganların bir kablosuz ağın Wi-Fi Korunmuş Kurulum (WPS) PIN'ini ele geçirmesine ve böylece ağ şifresini bilmeden ağa bağlanmasına olanak tanıyor. Saldırıyı gerçekleştirmek için tek gereken, hedeflenen ağın kapsama alanında bulunmak, ağ ile bir istemci cihaz arasındaki ilk WPS el sıkışmasını yakalamak ve ardından PIN'i çevrimdışı olarak kırmak.
Bu açığın ne kadar bilindiği ve yaygın olduğu, güvenlik odaklı dağıtımların bile bu açığı tanıtım amaçlı kullandığı birçok açık kaynaklı aracın geliştirilmiş olmasından anlaşılıyor. Bu durum, üreticilerin bu açığın kolayca sömürülebileceği gerçeğinden habersiz olduğunu iddia etmelerini güçleştiriyor.
Eski bir açığın hala aktif olarak kullanılabilmesi beklenmedik bir durum olmasa da, birçok firmanın her yıl piyasaya sürdüğü ürün çeşitliliği düşünüldüğünde, tüm ürünlerin sonsuza dek desteklenmesi beklenemez. Ancak yapılan araştırmaya göre, incelenen 24 cihazdan sadece dördünün geçmişte yamalandığı, hatta bu yamaların bile gecikmiş olduğu belirtiliyor. Şu anda, incelenen cihazlardan on üçü hala aktif olarak destekleniyor ancak yamalanmamış durumda. Diğer yedi cihaz ise herhangi bir düzeltme almadan ömrünü tamamlamış.
Bu durum, altı üreticinin bilinen güvenlik açıklarına sahip ürünler piyasaya sürdüğünü ve birçok durumda, müşterilerine ürünlerinin hala desteklendiği güvencesi verilmesine rağmen ilgili firmware'i güncellemediğini gösteriyor. Yamalanan ürünler bile, açığın halka duyurulmasından ortalama 9.6 yıl sonra güncelleme almış.
Uzmanlar, Pixie Dust açığının münferit bir olay olmadığını, zayıf şifreleme algoritmaları, yetersiz rastgelelik üretimi ve şeffaf olmayan üretici yama uygulamaları gibi firmware tedarik zincirindeki sistemik sorunların bir göstergesi olduğunu vurguluyor. Sonuç olarak, firmware üzerinde sürekli bir görünürlük olmadan, eski açıklardan kurtulunduğunu varsaymak mümkün görünmüyor.
