Araştırmacılar, son zamanlarda popüler Shimano Di2 elektronik vites değiştirme sisteminde bazı güvenlik açıkları keşfettiler ve bu durum, bu üst düzey bisikletlerin güvenliği konusunda endişelere yol açtı.
Siber güvenlik uzmanları, bebek telsizlerinden otomobillere kadar birbirine bağlı cihazların potansiyel riskleri konusunda uzun zamandır uyarılarda bulunuyordu; ancak bisiklet korsanlığının bu son cephesi yine de sürpriz olabilir.
Elektronik Vites Değiştirmenin İncelikleri
Dünyanın en büyük bisiklet parçaları üreticisi olan Shimano, 2001 yılından bu yana elektronik vites değiştirme sistemleri üzerinde deneyler yapıyor. Vites değiştiricileri vites kollarına bağlamak için kablolara dayanan geleneksel mekanik sistemlerin aksine, elektronik sistemler komutları iletmek için kablosuz veya kablolu bağlantılar kullanır.
Üst düzey pazara hakim olan Shimano Di2 sistemi, bisikletin bilgisayarları ve Shimano akıllı telefon uygulamasıyla iletişim kurmak için Bluetooth Low Energy ve ANT+ protokollerinin bir kombinasyonunu kullanır. Sistemin iletişimi şaşırtıcı derecede basittir; vites değiştirici, vites değiştiriciye bir komut gönderir ve bu da komutun alındığını doğrular.
Ancak Northeastern Üniversitesi ve California San Diego Üniversitesi’nden araştırmacılar, 2,478 GHz sabit frekans kullanan sistemin tescilli protokolünde kritik bir güvenlik açığı keşfettiler. Komutlar şifrelenmiş olsa da araştırmacılar, iletilen paketlerin bir zaman damgası veya tek seferlik koddan yoksun olduğunu ve bu durumun sistemi tekrar saldırısına karşı savunmasız hale getirdiğini buldular.
Bu, bir saldırganın şifrelenmiş komutları ele geçirebileceği ve bunları şifresini çözmeden kurbanın bisikletinde vites değiştirmek için kullanabileceği anlamına geliyor.
Shimano Di2 Bisikletleri için Riskler ve Sonuçlar
Araştırmacılar, 10 metrelik etkili bir saldırı menziline sahip hazır bir yazılım tanımlı radyo kullanarak komutları kesip tekrar oynatabildiklerini başarıyla gösterdiler. Bu, yarışmalarda haksız bir avantaj elde etmek için bu açığı kullanabilecek profesyonel bisikletçiler için önemli endişeler doğuruyor.
Kötü niyetli komutlar, destek ekibi tarafından uzaktan gönderilebilir ve rakibin performansını etkileyebilir, hatta motosiklete zarar verebilir.
Araştırmacılar ayrıca, kurbanın bisikletine sürekli tekrarlanan komutların gönderildiği ve vites değiştirme sisteminin arızalanmasına neden olan ‘hedefli sıkışma’ olasılığını da araştırdılar. Etkili bir şekilde bir hizmet reddi (DoS) saldırısı olarak çalışan bu saldırılar, bisikletçiyi yolda bırakabilir veya yaralayabilirken, sürekli tekrarlanan komutlar bisikleti kullanılamaz hale getirebilir.
Shimano’nun Savunmasızlığa Tepkisi
Shimano, Shimano Di2 sistemindeki güvenlik açıklarından haberdar edildi ve sorunu gidermek için bir güncelleme geliştirdi. Ancak, şu an itibariyle güncelleme yalnızca profesyonel bisiklet takımlarına sunuldu.
Shimano, güncellemeyi E-TUBE PROJECT Cyclist uygulaması aracılığıyla genel halkın kullanımına sunacağına söz vermiş olsa da, daha geniş bir kitleye ulaşana kadar genel halk bu durumdan etkilenmeye devam edebilir. Ancak profesyonel olmayan bisikletçiler için bu durumun suistimal edilme riskinin düşük olduğu varsayılıyor.