Kia araçlarındaki kritik bir güvenlik açığı, bilgisayar korsanlarının yalnızca plakaları kullanarak arabaları uzaktan kontrol etmesine olanak sağladı. Kusur düzeltildi ancak bağlantılı araçlara yönelik giderek artan siber saldırı tehdidini vurguluyor.
Kia araçlarında, bilgisayar korsanlarının yalnızca bir plaka kullanarak önemli işlevleri uzaktan kontrol etmesine olanak tanıyan ciddi bir güvenlik açığı keşfedildi. Güvenlik araştırmacıları Neiko Rivera, Sam Köri, Justin RhinehartVe Ian Carroll Kia bayilik altyapısından yararlanarak Kia araçlarına yetkisiz erişim sağlamak için kullanılabilecek bir dizi güvenlik açığını ortaya çıkardı,
Saldırı, saldırganların uzaktan sahte bir hesaba kaydolmasını ve erişim jetonları üretmesini içeriyordu. Bu tokenler daha sonra satıcının APIGW (API Ağ Geçidi) uç noktasına ve aracın VIN’sine (araç kimlik numarası) yapılan başka bir HTTP isteğiyle birlikte kullanılarak sahibinin adını, telefon numarasını ve e-posta adresini elde edecek ve potansiyel olarak kendilerini “görünmez” olarak ekleyecektir. “Sahibinin bilgisi dışında araçtaki ikinci kullanıcı.
Araştırmacılar, kurbanın aracına dört HTTP isteği ve internetten araca komutlar çalıştırılarak erişilebileceğini keşfetti. Bu komutlar arasında bir bayi jetonu oluşturmak, kurbanın e-postasını ve telefon numarasını almak, sızdırılmış bir e-posta adresi ve VIN kullanarak sahibinin önceki erişimini değiştirmek ve bir saldırganı aracın birincil sahibi olarak eklemek yer alıyor. Mağdur, erişim izinlerinde yapılan değişikliklere ilişkin herhangi bir bildirim almayacaktır. Hangi işlevlerin savunmasız olduğuna ilişkin kısa bir açıklamayı burada bulabilirsiniz:
- Uzaktan Kilitleme/Kilit Açma: Kapıları kilitleyebilir veya kilitlerini açabilirler.
- Aracın Coğrafi Konumunu Belirleme: Bilgisayar korsanları aracın konumunu tam olarak belirleyebilir.
- Uzaktan Çalıştırma/Durdurma: Motoru uzaktan çalıştırabilir veya kapatabilirler.
- Uzaktan Korna/Işık: Arabanın kornasını ve ışıklarını etkinleştirebilirler.
- Uzak Kamera: Bazı durumlarda arabanın kameralarına bile erişebiliyorlar.
Varsayımsal bir saldırı senaryosu, kötü niyetli bir kişinin bir Kia aracının plakasına girmesine, kurbanın bilgilerini almasına ve 30 saniye sonra komutları yerine getirmesine olanak tanıyabilir. Bu güvenlik açığı, bilgisayar korsanlarının motoru uzaktan çalıştırıp durdurmasına, potansiyel olarak aracı çalmasına, hasara neden olmasına veya araç içindekileri tehlikeye atmasına olanak tanıyor. Bu durum, 2013’ten sonra üretilen modeller de dahil olmak üzere çok çeşitli Kia araçlarını etkiledi. Bu, önemli sayıda otomobilin potansiyel olarak risk altında olduğu anlamına geliyor.
Kia, Temmuz 2024’teki sorumlu bir açıklamanın ardından bu sorunları Ağustos 2024’te ele aldı. Ortalıkta istismara dair hiçbir kanıt bulunmamasına rağmen araştırmacılar, otomobil üreticilerinin Meta’ya benzer güvenlik açıkları sunarak birisinin bir aracın bilgilerini ele geçirmesine izin verebileceği konusunda uyarıyor. Otomobiller giderek daha fazla bağlantılı hale geldikçe üreticilerin, müşterilerini potansiyel tehditlerden korumak için güvenlik önlemlerine öncelik vermesi gerekiyor.
Bu, Sam Curry gibi etik hackerların yer aldığı bir ekibin internete bağlı arabaların güvenliğini tamamen tehlikeye atması ilk kez değil. Aralık 2022’de bilgisayar korsanları, yalnızca şasi numaralarını bilerek Honda ve Nissa araçlarını hacklemek için uygulamadaki güvenlik açıklarını kullandı.
Uzmanların Yorumları:
Bu konuda yorum yapan Synopsys Software Integrity Group’un kıdemli güvenlik danışmanlığı yöneticisi Akhil Mittal şunları söyledi: “Kia’daki bu güvenlik açığı yalnızca teknik bir kusur değil, aynı zamanda tüm otomotiv endüstrisi için bir tehlike işaretidir. Fiziksel hırsızlıktan dijital istismara geçiş yaparak modern arabaların siber suçlular için nasıl ana hedef haline geldiğini gösteriyor. Bir bilgisayar korsanının sadece bir plaka numarasını kullanarak arabanızın kilidini açabileceği, takip edebileceği ve hatta çalıştırabileceği fikri bilim kurgu gibi gelse de bugün gerçekleşiyor.”
Akhil ayrıca şöyle açıkladı: “Kia’nın hızlı yaması cesaret verici, ancak daha büyük bir soruyu gündeme getiriyor: Otomobil endüstrisi bu yüksek teknoloji tehditlerine hazır mı? Bu sadece bir arabayı kontrol etmekle ilgili değildi; kişisel verileri de açığa çıkardı. Bir bilgisayar korsanı, birkaç basit adımda hassas bilgilere erişebilir, sahibini değiştirebilir ve sahibinin bilgisi olmadan aracın kontrolünü ele geçirebilir. 2013’ten sonra üretilen neredeyse tüm Kia modellerinin etkilenmesi nedeniyle, modern arabaların artık bağlantılı cihazlar olduğu ve telefonlarımız ve bilgisayarlarımızla aynı siber güvenlik risklerine karşı savunmasız olduğu açık.”
“Otomobil üreticileri siber güvenliği çarpışma güvenliği kadar ciddiye almalı. Arabalar artık yalnızca makine değil, korunması gereken verilerle dolu akıllı cihazlardır. Düzenli yazılım güncellemeleri, daha güçlü şifreleme ve sürücülerle daha iyi iletişim kritik öneme sahiptir. Eğer sektör yakın zamanda harekete geçmezse bu riskler sıradan sürücüler için sorun haline gelebilir” diye uyardı.
İLGİLİ KONULAR
- Bilgisayar Korsanları Honda Cars’ın Kilidini Uzaktan Nasıl Başlatabilir/Başlatabilir?
- Siber Suçlular Araba Çalmak İçin CAN Enjeksiyon Hack’ini Kullanıyor
- Küresel Olarak Kullanılan Points.com Sadakat Sistemi Tamamen Hacklendi
- Tesla arabaları drone ve WIFI dongle kullanılarak uzaktan hacklenebilir
- İnternete Bağlı Araba Akıllı Telefonla Hacklendi ve DDoS’lendi