Elektrikli araçların (EV’ler) hızlı bir şekilde benimsenmesi benzeri görülmemiş siber güvenlik riskleri getirmiştir. Bilgisayar korsanları, sürücü güvenliğini, veri gizliliğini ve enerji sistemlerini tehdit etmek için altyapı, araç yazılımı ve ızgara bağlantısındaki güvenlik açıklarından yararlanır.
Son araştırmalar, teminatsız internete bağlı şarj istasyonlarından havadan güncelleme sistemlerindeki kusurlara kadar EV ekosistemindeki sistemik zayıflıkları ortaya koymakta ve endüstri kitlesel elektrifikasyona doğru ölçeklendikçe otomotiv siber güvenlik hazırlığı hakkında acil sorular ortaya çıkarmaktadır.
Yüksek riskli saldırı yüzeyi olarak şarj altyapısı ortaya çıkar
EV şarj istasyonları, özellikle genel hızlı şarj ağları, ızgara istikrarsızlaştırma, veri hırsızlığı ve araç uzlaşmasını sağlayabilecek kritik güvenlik açıkları içerir.
.png
)
Çalışmalar, test edilen birçok istasyonun temel ağ segmentasyonundan yoksun olduğunu ve saldırganların ödeme sistemlerinden enerji yönetimi kontrollerine kadar dönmesine izin verdiğini bulmuştur.
Araştırmacılar, DC Fast-Chargers’daki güç hattı iletişiminin kusurlarının “ortada düşman” saldırılarını nasıl etkinleştirdiğini, kimlik doğrulama anahtarlarını ele geçirdiğini ve şarj parametrelerini manipüle ettiğini gösterdiler.
Dünya çapında ticari istasyonlarda kullanılan açık kaynaklı şarj ürün yazılımı, güvensiz protokol uygulaması yoluyla uzaktan kod yürütülmesine izin veren kritik güvenlik açıkları içermiştir.
Bir saldırgan teorik olarak şarj oturumlarını kaçırabilir, termal kaçaklığa neden olmak için pilleri aşırı şarj edebilir veya kalıcı kötü amaçlı yazılım kurabilir.
Bu tür güvenlik açıkları, ev şarj cihazlarında modası geçmiş protokollerin yaygın kullanımı ile daha da kötüleşir ve hizmet reddi saldırıları için giriş noktaları oluşturulur.
Modern EV’lerin yazılım tanımlı mimarileri karmaşık saldırı vektörlerini tanıtıyor. Araştırmacılar, bilgisayar korsanlarının frenleme ve direksiyon gibi güvenlik açısından kritik sistemlere kök erişimi elde etmek için bilgi-eğlence sistemlerindeki güvenlik açıklarını nasıl zincirleyebileceğini gösterdiler.
Benzer istismarlar, araştırmacıların jailbreak araçlarını jailbreak almasına olanak tanıyarak, sürücü coğrafi konum verilerini ve kimlik doğrulama jetonlarını açığa çıkarırken premium özellikler için ödeme duvarlarını atladı.
Otomotiv arka uç sistemlerinin ihlalleri, tehlikeye atılan API anahtarlarının nasıl uzaktan kapıların kilidini açabileceğini, motorları başlatabileceğini ve acil araç ışıklarını manipüle edebileceğini ortaya koydu.
Uzmanlar, saldırganların artık fiziksel erişime ihtiyaç duymadığı BT ve otomotiv güvenlik arızalarının yakınsamasına dikkat çekiyorlar- savunmasız bir OTA güncelleme sunucusu veya üçüncü taraf uygulama entegrasyonu tam araç kontrolü sağlayabilir.
Bağlı EV ekosistemlerinde veri gizliliği riskleri
EV’ler, ayrıntılı sürücü davranış kalıpları, şarj geçmişleri ve kabin sensörlerinden biyometrik bilgiler dahil olmak üzere büyük miktarda veri saati üretir.
Birden fazla EV modelinin analizleri, Bluetooth aracılığıyla en çok Şifrelenmemiş Araç Kimlik Numaraları’nın (VINS) kimlik klonlama ve sigorta sahtekarlığı sağladığını bulmuştur.
Şarj ağlarının ihlalleri, kredi kartı detayları ve seyahat geçmişleri içeren milyonlarca şarj kütüğünü ortaya çıkarmıştır.
Çoğu üretici, veri güvenliğini, gerçek zamanlı konum verilerini ve kimlik doğrulama kimlik bilgilerini sızdırabilecek telematik sistemlerinde güvenlik açıkları ile sonradan düşünmektedir.
Müzik akışı ve sosyal medya gibi üçüncü taraf uygulamaları entegre etmek, saldırı yüzeylerini daha da genişletir. Araştırmacılar, tehlikeye atılan bilgi -eğlence sistemlerinin araç filoları arasında fidye yazılımı nasıl kullanabileceğini gösterdiler.
Bazı bölgeler araç siber güvenlik yönetim sistemlerini zorunlu kılmakla birlikte, diğerleri hala bağlayıcı standartlardan yoksundur. Güvenli geliştirme yaşam döngüleri için yönergeler mevcuttur, ancak uygulama tedarik zincirleri arasında tutarsız kalır.
Güncellenmiş siber güvenlik en iyi uygulamaları yerleşik çerçeveleri vurgular, ancak belirli teknik kontroller gerektirmez.
Mevcut düzenlemeler, güvenlik açısından kritik sistemlere odaklanır ve genellikle bilgisayar korsanlarının hedeflediği yardımcı bileşenleri görmezden gelir.
Parçalanmış düzenleyici ortam, güvenlik açığı açıklamasını karmaşıklaştırır ve araştırmacılar, şarj ekipmanlarında kritik ürün yazılımı kusurlarının yamalanmasında uzun gecikmeler bildirir.
İleri Yol – Elektrik Geleceğinin Güvenliğini Sağlamak
EV siber güvenliğinin ele alınması dört cephede koordineli eylem gerektirir:
- Güvenli tasarım üretimi, Bileşen gelişimi sırasında tehdit modellemesinin uygulanması
- Izgara sertleştirme Şifreli araç-şebekeye (V2G) iletişim ve gelişmiş enerji işlem doğrulaması yoluyla
- Sürekli İzleme Otomotiv ağları için uyarlanmış AI-güdümlü saldırı algılama sistemlerini kullanma
- Standart penetrasyon testi Altyapı ve OTA güncelleme mekanizmalarını şarj etmek için protokoller
EV benimseme hızlandıkça, endüstri siber güvenliği bir uyumluluk onay kutusundan ziyade bir güvenlik zorunluluğu olarak önceliklendirmelidir.
Araştırmacılar, şarj oturumlarını ve genç hackerların EV filolarını uzaktan tehlikeye atabilecek ucuz araçlar göstermesiyle, reaktif güvenlik önlemlerinin zamanı geçti.
Elektrifikasyonu güvence altına alma yolu, siber suçlular henüz keşfetmediğimiz güvenlik açıklarını kullanmadan önce otomobil üreticileri, kamu hizmetleri ve düzenleyiciler arasında işbirliği gerektirir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!