Büyük çaplı yeni motorlu araç araştırmaları, çok çeşitli otomobil üreticilerinde çok sayıda güvenlik açığını ayrıntılı olarak ortaya koydu.
Arabanız potansiyel olarak uzun süredir “sadece” bir araba değil. Birden fazla dijital sistemle, araçlar giderek daha fazla web uygulamalarına ve dijital süreçlere bağlanıyor. Bu sistemler, otomobil şirketi çalışanları için şifreler ve web sohbet sistemlerinden, dosya havuzlarına ve potansiyel olarak araçların kendilerine geri bildirimde bulunan iş altyapısının diğer bölümlerine kadar her şeye bağlanır.
Korna çalmak, çalıştırmayı devre dışı bırakmak, bir aracı çalıntı olarak bildirmek, hatta dahili kameralara erişmek, haydut varlıklar için bir üreticinin ağına girmeyi başarmaları durumunda mümkündür.
Geçen ay ele aldığımız araç sahibi ayrıntılarını VIN numaraları aracılığıyla ortaya çıkarmanın bir yolunu geliştiren ve genişleten araba korsanlığı dünyasında yeni bir araştırma ortaya çıktı. Bu son ifşaatlar, aynı araştırmacı Sam Curry ve onun araba teknolojisi kaşifleri ve müfettişlerinden oluşan kolektiften geliyor.
Bir sorunu tek başına görüntüleme
Geçen sefer bir arabada görünen halka açık verilerin telematiklere nasıl bağlandığını ve bu verilerin araba sahibi hakkında çok fazla bilgiyi nasıl ortaya çıkarabileceğini gördük. Korna çalmak veya ışıkları yakmak gibi VIN ile ilişkili araca temel talimatlar göndermek de mümkündü.
Görünen o ki, ne kadar hızlı hareket eden, inanılmaz derecede ağır nesnelerin dijital sistemlere bağlı olduğunun keşfi, ilk düşünülenden çok daha kapsamlı. Aslında, birçok büyük markanın dijital sistemleri tek oturum açma (SSO) sistemlerine ve bilenlere baş döndürücü düzeyde erişim sağlayan kötü yapılandırılmış uç noktalara sahiptir.
Raporda adı geçen markalar şunları içeriyor:
- Haydi
- honda
- sonsuzluk
- Nissan
- Acura
- mercedes-benz
- hyundai
- Yaratılış
- BMW
- Rolls Royce
- Ferrari, Spireon
- ford
- Canlandırmak
- Porsche
- toyota
- Jaguar
- Land Rover
- SiriusXM
İşlerin ters gittiği nokta, bu sistemlerin birçoğunun birden çok sömürü biçimine karşı savunmasız olduğunun bulunmasıdır. Araçlardaki dijital sistemlerin çoğu birbirinden izole edilmiş olsa da, araç sahibinin kontrolü dışındaki bir SSO, geliştirici veya yönetici düzeyinde erişime izin verirse her şey hızla ters gider.
Araştırmacılara hangi erişim, veri ve kontrol sağlandı?
Tam liste burada tekrar yayımlanamayacak kadar uzun, ancak çeşitli üreticilerin en etkileyici sonuçlarından bazıları aşağıda belirtilmiştir:
- Yaklaşık 15,5 milyon araca rasgele komutların gönderilmesine izin veren şirket çapında bir yönetici paneline tam yönetici erişimi (motoru çalıştırma, marşı devre dışı bırakma, kilidi açma, cihaz konumunu okuma, flash ve bellenimi güncelleme).
- Araç durumunu “çalındı” olarak güncelleyin, hem plakayı güncelleyin hem de yetkilileri bilgilendirin
- Kullanıcı hesabında kimlik doğrulaması yapın ve araçlara karşı eylemler gerçekleştirin.
Bu üçü tek başına, özellikle kolluk kuvvetlerine bildirimde bulunmakla ilgili olarak, tam bir kaos potansiyeline sahiptir. 2015’te otoyolda bir cipi öldürme cüretiyle hiçbir şey tam olarak karşılaştırılamaz, ancak bu savunmasız SSO sistemleri, giderek daha fazla ve daha dolambaçlı yollarla araç sahiplerine bulaşmak için yollar sunuyor.
Yalnızca katıksız kötü niyetli trol değeri için, yetkililerin arabanızı işaretlemesiyle ne eşleşebilir? İnanılmaz derecede şanssız bir kişinin, araç tabanlı bir ezme senaryosuna girmesi tamamen mümkündür, ancak silahlı polis memurları eviniz yerine arabanızı çevreler. Başka yerlerde, güvenli olmayan güvenlik kameralarıyla yatak odalarınızı gözetleyen kötü niyetli kişiler yerine, bir arabanın içinden canlı görüntüler alıyoruz.
Neredeyse hiçbir düzeyde gizlilik ihlali, kişisel risk veya veri sızıntısına maruz kalma durumu çözülmedi. Güvenlik risklerini ve güvenlik açıklarını abartmamaya büyük bir inancım var ama Curry ve ekibinin burada ortaya çıkardığı şey, hayal gücünün hiçbir zorlamasıyla fantastik değil. Saldırı açınız ne olursa olsun, ilginiz ister sosyal mühendislik, ister şaka, sistem kurcalama veya veri toplama olsun, potansiyel olarak herkes için bir şeyler vardır.
Bu sorunlar hala sorun teşkil ediyor mu?
Neyse ki hayır, Curry’nin belirttiği gibi “tüm güvenlik açıkları” bir hafta içinde giderildi ve tüm üreticiler güvenlik açığı raporlarına çok duyarlı. Raporda listelenen markalardan birine sahipseniz, belirtilen her şey ele alındığı için herhangi bir şey yapmanıza gerek yoktur.
Bu küçük araştırmacı grubundan elde edilen bulguların büyük ölçeği göz önüne alındığında, araba modelinizin listede olmaması daha endişe verici olabilir. Orada ne olduğunu bilmiyoruz ve Sam ya da diğer araştırmacılar yeni bulgu listeleri derlemedikçe bilemeyeceğiz. Şimdilik, listelenmemiş araba modelinizin herhangi bir dijital sistem veya hizmetle birlikte gelip gelmediğini ve arka planda çalışan herhangi bir telematik olup olmadığını araştırmak isteyebilirsiniz.
Birçok sistem, oturum açma ve veri toplama ile ilgili güvenlik önlemlerini belirlemenize izin verir, ancak perde arkasında yetkisiz erişim içeren herhangi bir olası durumda olduğu gibi, birinin yönetici hesabına erişimi olduğu durumlarda bu yardımcı olmayabilir. Şimdilik güvenli bir şekilde sürün ve tavizsiz bir yolculuk dileriz.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.