ABD hükümetinin TP-Link satış yasağı girişiminin analizi

 (krebsonsecurity.com)
2 puan yazan GN⁺ 2025-11-11 | 1 yorum | WhatsApp'ta paylaş
  • ABD hükümeti, TP-Link Systems'in kablosuz yönlendirici ve ağ ekipmanlarının satışını yasaklama seçeneğini değerlendiriyor; bunun başlıca gerekçesi olarak Çin ile bağlantı endişeleri gösteriliyor
  • Ticaret Bakanlığı, TP-Link ürünlerinin ABD içinde hassas verileri işlediğini ve Çin hükümetinin etki alanı altında olabileceğini değerlendiriyor
  • TP-Link ise Çin’deki tüzel kişilikten tamamen ayrıldığını, Vietnam’da üretim yaptığını ve merkezinin Kaliforniya’da bulunduğunu belirterek güvenlik riski iddialarını reddediyor; ayrıca pazar payı rakamlarının abartıldığını savunuyor
  • Check Point Research ve Microsoft, TP-Link yönlendiricilerinin Çinli hack grupları tarafından kötüye kullanıldığı vakaları raporladı; Camaro Dragon gibi devlet destekli hacker faaliyetlerine de değiniliyor
  • Tüketici açısından bakıldığında, güvenlik endişelerinden bağımsız olarak düşük fiyatlı ve yüksek performanslı ürünlere erişimin kısıtlanma ihtimali bulunuyor; bu da güvenlik ile teknolojiye erişim arasındaki dengeyi temel tartışma konusu haline getiriyor

ABD hükümetinin TP-Link satış yasağı girişimi

  • ABD hükümeti, TP-Link Systems'in yönlendirici ve ağ ekipmanlarının satışını yasaklamaya hazırlanıyor; bu adımın, ev ve küçük işletme pazarının yaklaşık %50’sine sahip bir şirkete yönelik olduğu bildiriliyor

    • Uzmanlar, bu adımın teknik bir tehditten çok Çin ile bağlantı endişelerine dayandığını değerlendiriyor
    • Sektör genelinde Çin üretimi bileşenler kullanıldığı için, güvenlik açıkları yalnızca TP-Link’e özgü değil

  • Washington Post, altıdan fazla federal kurumun yasağı desteklediğini ve Ticaret Bakanlığı'nın TP-Link ürünlerinin Çin hükümetinin etki alanında olduğu sonucuna vardığını yazdı

TP-Link'in yanıtı ve şirket yapısı

  • TP-Link, Çin’deki TP-Link Technologies ile tamamen ayrıştığını savunuyor ve ABD merkezi (Kaliforniya), Singapur ofisi ve Vietnam’daki üretim tesisi bulunduğunu açıklıyor
    • Yonga setleri dışında araştırma, tasarım ve üretimin büyük kısmını kendi bünyesinde yürüttüğünü belirtiyor
    • Çin içindeki bazı mühendislik varlıklarının bağımsız olarak işletildiğini ve Çin hükümetinin denetimine tabi olmadığını ifade ediyor
  • Sözcü Ricca Silverio, “TP-Link, ABD’li bir şirket olarak yüksek kaliteli ve güvenli ürünler sunmaya kendini adamıştır” açıklamasını yaptı

Güvenlik endişeleri ve hack vakaları

  • Temsilciler Meclisi ABD-Çin Stratejik Rekabet Özel Komitesi, Ağustos 2024’te TP-Link ekipmanlarının ABD askeri üsleri ve askeri satış noktalarında satıldığını belirterek soruşturma talep etti
    • Mektupta, TP-Link’in güvenlik açıkları ve Çin yasalarına uyma yükümlülüğü konusunda endişe dile getirilirken, Çin hükümetinin SOHO yönlendiriciler üzerinden siber saldırılar yürüttüğü uyarısı yapıldı
  • Check Point Research (2023), Çinli hack grubu Camaro Dragon'un TP-Link yönlendiricilere yönelik kötü amaçlı firmware kullanarak Avrupa’daki diplomatik kurumlara saldırılar düzenlediğini raporladı
    • Söz konusu kötü amaçlı yazılım yalnızca TP-Link cihazlarında tespit edilmiş olsa da, diğer üreticilerin cihazlarının da risk altında olabileceği vurgulandı
  • Microsoft (2024), 2021’den bu yana Çinli hacker gruplarının TP-Link SOHO yönlendiricilerini kötüye kullanarak password spraying saldırıları gerçekleştirdiğini açıkladı

Tüketici yönlendiricilerinde güvenliğin gerçek durumu

  • Çoğu tüketici tipi yönlendirici, kutudan çıktığı haliyle zayıf varsayılan ayarlarla gelir; varsayılan kullanıcı hesabı ve parolası değiştirilmezse birkaç dakika içinde IoT botnet saldırılarının hedefi olabilir
    • Yeni ürünlerde bile çıkış anındaki firmware’in eski sürüm olması sık görülen bir durum
  • Son yıllarda büyük üreticiler, temel güvenlik adımlarını (parola değiştirme, firmware güncelleme) zorunlu kılma yönünde ilerledi
    • Eero, Orbi, ZenWifi gibi mesh yönlendiriciler, çevrimiçi kayıt üzerinden otomatik güncelleme desteği sunuyor
    • Belkin, Linksys gibi markalar mobil uygulama tabanlı kurulumu teşvik etse de, birçok durumda güncellemelerin hâlâ kullanıcı tarafından manuel yapılması gerekiyor

Açık kaynak firmware ve alternatifler

  • OpenWrt, DD-WRT gibi açık kaynak firmware'ler çok çeşitli yönlendiricilerde kullanılabiliyor ve işlev genişletme ile cihaz ömrünü uzatma imkânı sunuyor
    • TP-Link yönlendiricilerinin önemli bir kısmı da OpenWrt uyumlu
    • Donanım seviyesindeki kusurları çözemese de, sabit kodlanmış hesaplar ve kimlik doğrulama atlatma açıkları gibi üreticiye özgü güvenlik sorunlarını hafifletebilir
  • Yönlendirici 4-5 yıldan daha eskiyse, performans ve güvenlik açısından değiştirilmesi öneriliyor

ISP tarafından yönetilen ekipmanlarda dikkat edilmesi gerekenler

  • Birçok TP-Link ve rakip marka yönlendirici, ISP üzerinden kiralanıp yönetiliyor ve uzaktan güncelleme ile kimlik doğrulama profilleri içeriyor
    • Bu durumda kullanıcıların firmware’i kendi başına değiştirmemesi veya modifiye etmemesi, önce ISP ile görüşmesi gerekiyor

Okur görüşleri ve tartışmalar

  • Bazı okurlar, Çin menşeli ürünlere yönelik aşırı korku söylemini eleştirirken, diğer üreticilerin de aynı güvenlik açıklarına sahip olduğunu savunuyor
  • Buna karşılık başka görüşlerde, Çin hükümetiyle olası bağlantılar gerekçe gösterilerek TP-Link ürünlerinin güvenlik riskine dikkat çekiliyor
  • Birçok yorumda uygulama tabanlı kurulumun zorluğu, kişisel verilerin açığa çıkması endişesi ve ABD içinde alternatif ürün eksikliği tartışılıyor
  • Bazı kullanıcılar, TP-Link’in uygun fiyat ve yüksek performans avantajını kabul etmekle birlikte, uzun vadeli güvenlik riskleri nedeniyle cihazlarını değiştirmeye başladıklarını belirtiyor

Sonuç bağlamı

  • TP-Link yasağı girişimi, ulusal güvenlik ile teknolojiye erişim arasındaki çatışmayı ortaya koyan bir örnek
  • Güvenlik tehdidinin niteliği ve kapsamı hakkında açık bilgi paylaşımı talep edilirken,
    tüketici, ISP ve hükümet arasındaki sorumluluk paylaşımı önümüzdeki dönemde tartışmaların odağı haline geliyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-11
Hacker News görüşleri

  • İnsanların TP-Link için ürün yazılımı güncellemesi yok demesini anlamıyorum
    Evimde, ailemin evinde ve kız arkadaşımın ailesinin evinde toplam 4 farklı TP-Link yönlendirici kullanıyoruz; piyasaya çıkışlarının üzerinden yıllar geçse de düzenli olarak güncelleme alıyorlar. Hatta bazı modeller geçen ay bile güncellendi
    Fiyat/performans oranı iyi ve temel güvenlik özellikleri de var; bence ev kullanımı için fazlasıyla yeterli
    Mükemmel değil ama bu fiyat bandında daha ne beklenir ki

    • Katılıyorum. TP-Link ileri düzey güvenliğin ya da geleceğe dönük özelliklerin simgesi değil, ama temel işlevlerini güvenilir şekilde yerine getiriyor
      Bugünlerde pahalı ürünlere bile güvenmek zorken, TP-Link fiyatına göre harika bir seçenek
      Rakiplerine göre çok daha uzun süre destek ve güncelleme alması da büyük avantaj
    • Benim m4R yönlendiricim 15 yıldan daha eski ve geçen ay bile ürün yazılımı güncellemesi aldı
    • Ben de üç evde birden fazla TP-Link cihazı çalıştırıyorum ve hepsi düzenli güncelleme alıyor
    • TP-Link’e karşı böyle bir “nefret” olduğunu bilmiyordum. Tüketici ağ ekipmanları arasında oldukça güvenilir bir marka olduğunu düşünüyorum
      Eskiden “ucuz Çin markası” imajı vardı ama şimdi Anker gibi sağlam bir orta ölçekli marka haline gelmiş gibi duruyor
      Bana kalırsa bir bakıma D-Link’in yerini aldı
    • Bu “nefret”, Huawei’de olduğu gibi Çin hükümeti arka kapısı şüphesi yüzünden var
      Ama şu ana kadar buna dair gerçek bir kanıt bulunmadı. Çeşitli ülkelerden güvenlik uzmanları ve hacker’lar cihazları zaten didik didik incelemiştir; bir şey çıksaydı şimdiye kadar ortaya çıkardı
      Eğer bir arka kapı varsa eninde sonunda ortaya çıkacağına inanıyorum

  • ABD hükümetinin Intel hisselerini doğrudan alması kabul edilebilirken, Çin Komünist Partisi’nin şirketlere en ufak müdahalesinin bile kabul edilmemesi bana çifte standart gibi geliyor
    Sorun güvenlikse, operatörlerin sürekli ürün yazılımı desteğinin maliyetini üstlenmesini sağlamak gibi daha somut çözümler olabilir
    Bu tür siyasi tepkiler sonunda 15 yıl sonra ABD’nin kendi başına patlayacak bir bumerang olur

    • Tavır şu: “ABD yaparsa sorun yok, Çin yaparsa olmaz.” Sonuçta bu sadece ikiyüzlü bir oyun
    • Sadece hisse satın almakla kontrol hissesi sahibi olmak aynı şey değil
      Çin’in şirketleri kontrol etme biçimi Batı’dan tamamen farklı olduğu için bunu basitçe karşılaştırmak yanlış bir eşdeğerlik olur
    • “ABD olur da Çin olmaz” sözüne sadece “evet” diye cevap vermek istiyorum
    • Çin de uzun zamandır ABD ürünlerini kısıtlıyor. İki tarafın da çocukça kavgası bu
    • Rakip ülkelerin adil davranacağını düşünmek safdillik. Sonuçta iki taraf da sadece propaganda yapıyor

  • Bu olayın asıl dersi, başarılı oldun diye güvenliğe yatırım yapmayı azaltmaman gerektiği
    TP-Link, on binlerce kendi yönlendiricisinin hacklendiğini duyduğunda öfkelenmeliydi
    Hemen yazılım kalitesini iyileştirmeye ve zafiyet inceleme süreçlerini güçlendirmeye girişmeliydi
    Ama görünen o ki sadece kâr marjını önemsiyor

    • Asıl ders galiba “ABD başkanına rüşvet vermeyi unutma
    • AirPort’u özlüyorum. Mükemmel ve sade bir yazılımı vardı, mesh özelliğini de erken sunmuştu
      Bugünkü ürünlerde hâlâ çevrimiçi kayıt gibi can sıkıcı süreçler var
    • Her gün aynı saatlerde trafiğin kilitlenmesini görünce, bunun yazılım olsaydı utanılacak bir bug sayılacağını düşünürdüm
      Ama gerçek dünyadaki pek çok sektör bu tür sorunları “normal” kabul ediyor; sanırım insan psikolojisi böyle işliyor
    • Eğer gerçekten güvenlik mesele olsaydı Fortinet de yasaklanmalıydı. Sonuçta ABD şirketlerine daha hoşgörülü davranılıyor
    • Microsoft ya da Cisco da güvenliği ihmal ediyor; neden sadece TP-Link hedef alınıyor anlamıyorum

  • TP-Link ürünleri sağlam ve istersen çoğunda ürün yazılımını OpenWRT ile değiştirmek mümkün
    Ailemin evine mesh Wi‑Fi kurdum ve süreç çok sorunsuz geçti
    Yalnız bulut hesabı kaydı gerektirmesi hayal kırıklığı yarattı

    • Ama tek başına OpenWRT yeterli değil
      Çoğu Wi‑Fi yonga seti kapalı kaynak ürün yazılımı blob’ları kullanıyor ve kendi CPU’sunda ayrı bir OS çalıştırıyor
      Yani OpenWRT bunun altında neler olduğunu bilmiyor. Tam bir çözüm değil
    • Ben bir kafe işletiyorum ve Omada sistemini kullanıyorum
      Birden fazla ağı ayırmak, misafir Wi‑Fi’ını otomatik kapatmak, bant genişliği önceliği belirlemek gibi zengin özellikleri var
      Meraki’den çok daha ucuz ve performansından da memnunum
      Benim ortamımda güvenlik riski düşük olduğu için gayet mantıklı bir tercih oldu
    • Sonuçta OpenWRT kullansan da donanım seviyesindeki kontrol yetkisi orada kalıyor
      Tıpkı Linux kullansan da Intel ME veya SGX gibi ürün yazılımı katmanlarının hâlâ var olması gibi
    • Eskiden bir TP-Link telefon almıştım ve destek kesildiği için hayal kırıklığı yaşamıştım
      Yakın zamanda OpenWRT kurmak için bir yönlendirici aldım ama revizyon değiştiği ve özellikleri düşürüldüğü için kurulum yapılamadı
      Yine de fiyatına göre kalite fena değil
    • Ben de ailemin evine bir mesh ağ kurmak istiyorum
      Kararlı ve uzaktan yönetimi kolay cihaz önerisi rica etmek istiyorum

  • Tüketici yönlendiricilerindeki asıl tehdit Çin değil, zayıf ürün yazılımı
    Sayısız ağ, devletlerden değil suçluların saldırılarından dolayı ele geçiriliyor
    Gerçek güvenlik isteniyorsa, yazılım mimarisi standartları oluşturulmalı
    Ama gerçekte olan şey sadece siyasi baskı ve ticaret pazarlığında koz kullanımı

    • Cisco’da da her yıl sabit kodlanmış parola zafiyetleri çıkıyor
      Son güvenlik duyurusu’na bakınca bile tüm sektörün YOLO usulü geliştirme yaptığı görülüyor
    • Keşke bu fırsatla Cyber Resilience Act (CRA) gibi yasalarla şirketlerin güvenlik sorumluluğu zorunlu kılınsa

  • TP-Link, EOL (ömür sonu) olmayan ürünlerine sürekli güncelleme sağlıyor
    ABD ürünleri de üretimden kalkınca aynı şekilde savunmasız hale geliyor
    Bu tartışma güvenlikten çok ABD pazar payını geri almaya yönelik bir lobi savaşı gibi duruyor
    Üstelik Checkpoint’in sözünü ettiği kötü amaçlı yazılım ürün yazılımından bağımsız, yani başka donanımlara da uygulanabilir

  • DJI’dan sonra TP-Link de yasaklanırsa, sonunda fiyat/performans açısından iyi Çin ürünlerinin kaybolduğu bir ABD pazarı nasıl görünür merak ediyorum
    Böyle bir ortamda büyüyen yeni nesil ABD mühendisleri teknolojiye erişim eksikliği yaşayacaktır

    • ABD’de hâlâ çok sayıda Çin ürünü serbest
      Yasakların nedeni uyruk değil, gerçek güvenlik riski
      TP-Link, arka kapı yerleştirme ve güvenlik yamalarını bırakacağını ilan etme nedeniyle güven kaybetti
      Daha bir yıl önce çeşitli teknoloji topluluklarında bu sorunlar zaten gündeme getirilmişti
    • Huawei’yi de unutmamak gerekir
    • Sonunda ABD’nin EV sektörüne benzer bir tablo ortaya çıkar
      Teknoloji fena değildir ama fiyatların yüksek, inovasyonun düşük olduğu bir pazar haline gelme ihtimali büyüktür

  • Firewalla Gold’un arkasında TP-Link Deco kullanıyorum
    Şimdiye kadar kullandığım ev ağları arasında en basit ve en kararlı olanı buydu
    TP-Link’e özel bir sevgim yok ama fiyatına göre amaca uygunluk açısından en iyisiydi
    Eğer yasaklanırsa, ABD’de servis/güncelleme desteği ve pazar karmaşası konusunda endişeliyim

    • Muhtemelen hükümet bunu ABD’deki iş birimini zorla sattırarak çözer
      TikTok-Oracle örneğinde olduğu gibi

  • Bence asıl daha büyük tehdit ABD
    Bugünlerde ABD, mafya usulü yönetilen bir devlet gibi görünüyor. Kendi arka kapısını koyamazsa şirketi yok ediyor

    • Aslında çoğu ülke benzer şekilde davranıyor. Sadece ABD’nin siyasi etkisi daha büyük
      Birleşik Krallık’taki Online Safety Act ya da Avustralya’nın şifrelemeyi yasaklama girişimleri buna örnek
    • Sonuçta isimler farklı olsa da bu, imparatorluk davranışından başka bir şey değil