Basit Bir Web Sitesi Hatası Sayesinde Milyonlarca Araç Hacklenebilir ve Takip Edilebilir


Ocak 2023’te çalışmalarının ilk sonuçlarını yayınladılar; Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce ve Ferrari’yi etkileyen devasa bir web güvenlik açığı koleksiyonu; bunların hepsini otomobil üreticilerine bildirdiler. Grubun bulduğu web hatalarının bu şirketlerden en az yarım düzinesi için, tıpkı son Kia saldırılarında olduğu gibi, araçların bağlı özellikleri üzerinde en azından bir miktar kontrol sağladığını yazdılar. Diğerlerinin ise verilere veya şirketlerin dahili uygulamalarına yetkisiz erişime izin verdiğini söylüyorlar. Diğerleri ise acil durum araçları için filo yönetim yazılımlarını hedef aldı ve hatta bu araçların çalışmasını önleyebileceklerine inanıyorlar; ancak bu potansiyel olarak tehlikeli numarayı güvenli bir şekilde test etme araçlarına sahip değillerdi.

Curry, bu yılın Haziran ayında Toyota’nın web portalında, çevrimiçi bulduğu sızdırılmış bir bayi kimlik bilgisi ile birlikte, Toyota ve Lexus araçlarının izleme, kilit açma, korna çalma ve ateşleme gibi özelliklerinin uzaktan kontrol edilmesine olanak tanıyan benzer bir kusurun hala mevcut olduğunu keşfettiğini söylüyor. Bu açığı Toyota’ya bildirdi ve WIRED’a, web üzerinden hedef Toyota’nın bağlı özelliklerinin kontrolünü yeniden atayabildiğini gösteren bir onay e-postası gösterdi. Curry, Toyota’ya bildirmeden önce bu Toyota hackleme tekniğinin videosunu çekmedi ve şirket, ifşa ettiği hatayı hızla düzeltti, hatta istismarını önlemek için web portalını geçici olarak çevrimdışı hale getirdi.

Toyota’dan bir sözcü Haziran ayında WIRED’a yazdığı mektupta, “Bu soruşturmanın sonucunda Toyota, tehlikeye atılan kimlik bilgilerini derhal devre dışı bıraktı ve portalın güvenlik iyileştirmelerini hızlandırıyor; ayrıca iyileştirmeler tamamlanana kadar portalı geçici olarak devre dışı bırakıyor” ifadelerini kullandı.

Daha Akıllı Özellikler, Daha Aptal Hatalar

UC San Diego’da bilgisayar bilimi profesörü olan ve araştırma ekibi 2010 yılında internet üzerinden bir arabanın direksiyonunu ve frenlerini hackleyen ilk ekip olan Stefan Savage, otomobil üreticilerinin web sitelerindeki araçların uzaktan kontrol edilmesine olanak tanıyan olağanüstü sayıdaki güvenlik açığının, şirketlerin akıllı telefon destekli özelliklerle tüketicilere (özellikle gençlere) hitap etme çabalarının doğrudan bir sonucu olduğunu söylüyor. Savage, “Bu kullanıcı özelliklerini telefona, bu bulut bağlantılı şeye bağladığınızda, daha önce endişelenmenize gerek olmayan tüm bu saldırı yüzeyini yaratmış oluyorsunuz” diyor.

Yine de, diyor, bu özellikleri yöneten tüm web tabanlı kodun güvensizliğine kendisi bile şaşırıyor. “Bu kadar kolay istismar edilebilmesi biraz hayal kırıklığı yaratıyor,” diyor.

Rivera, otomotiv siber güvenliğinde çalıştığı süre boyunca otomobil şirketlerinin web güvenliğinden ziyade “gömülü” cihazlara (otomobiller gibi geleneksel olmayan bilgi işlem ortamlarındaki dijital bileşenler) daha fazla odaklandığını bizzat gözlemlediğini söylüyor; bunun bir nedeni de bu gömülü cihazları güncellemenin çok daha zor olabilmesi ve geri çağırmalara yol açabilmesi. Rivera, “Otomotiv sektöründe gömülü güvenlik ile web güvenliği arasında bariz bir uçurum olduğu işe başladığımdan beri açıktı,” diyor. “Bu iki şey çok sık birbirine karışıyor, ancak insanlar yalnızca birinde veya diğerinde deneyime sahip.”

UCSD’den Savage, Kia-hackleme araştırmacılarının çalışmalarının bu odağı değiştirmeye yardımcı olabileceğini umuyor. Savage’ın UCSD’deki ekibi tarafından gerçekleştirilen 2015 Jeep devralma ve 2010 Impala hack’i gibi otomobillerin gömülü sistemlerini etkileyen erken, yüksek profilli hackleme deneylerinin çoğu, otomobil üreticilerini gömülü siber güvenliğe daha fazla öncelik vermeleri gerektiğine ikna etti, diyor. Şimdi otomobil şirketlerinin web güvenliğine de odaklanmaları gerekiyor, hatta bunun süreçlerinde fedakarlık veya değişiklik yapmak anlamına geldiğini söylüyor.

“‘Web kodunu incelemediğimiz için arabayı altı ay boyunca göndermeyeceğiz’ diye nasıl karar verirsiniz? Bu zor bir satış,” diyor. “Bu tür olayların insanların bu karara daha kapsamlı bir şekilde bakmasını sağlamasını isterim.”



Source link