Bir otomobil üreticisinin çevrimiçi bayilik portalı, müşterilerinin özel bilgilerini ve araç verilerini sızdırıyor. Bu aynı zamanda erişimi olan herkesin uzaktan bir arabaya girebileceği anlamına geliyordu.
Araştırmacı Eaton Zveare, keşfini TechCrunch ile paylaştı. Her ne kadar satıcının adını açıklamamayı seçtiğini söylemesine rağmen, Amerika Birleşik Devletleri’nde birkaç popüler alt markalı ve 1.000’den fazla bayiye sahip tanınmış bir otomobil üreticisi olduğunu açıkladı.
Zveare, kusuru bulmanın kolay olmadığını söylüyor, ancak bir kez yaptıktan sonra, giriş güvenlik kontrollerini atlayabilmesi için portalın giriş sayfasında kodu değiştirmesine izin verdi. Bu, yeni bir ulusal yönetici hesabı oluşturmasına izin verdi.
Bu sadece bu bayilerin tüm verilerine erişmesine izin vermekle kalmadı, aynı zamanda oturum açmış herhangi bir portal kullanıcısının o otomobil üreticisinin araç ve sürücü verilerini aramasına izin veren ulusal bir tüketici arama aracı da buldu.
Gerçek Hayat Testleri, bir aracın benzersiz kimlik numarasını (VIN) bir arabanın ön camından almanın, portala erişimi olan herkesin sahibinin adına bakmasına izin verdiğini öğrendi. Herhangi bir aracı bir mobil hesapla eşleştirmek de mümkün oldu ve daha sonra aracın kilidini açmak gibi bir otomobil işlevlerini uzaktan kontrol etmek için kullanılabilecek.
Hem bir Vin hem de birinin adı ve soyadı, bir hesabın sahipliğini bir saldırganın kontrolü altındaki birine bulmak ve aktarmak için yeterli olduğundan, en azından arabayı açıp içerideki her şeyi çalabilirlerdi. Araştırmacı, içinde sürüp gidemeyeceğini test etmedi.
Kusurdan yararlanan başka kimsenin kanıtı bulamamasına rağmen, portallar gerçekleşmeyi bekleyen bir güvenlik kabusuydu. Oluşturabildiği gibi yönetici hesaplarına bile izin verdi, diğer bayi sistemlerine, girişlerine ihtiyaç duymadan kullanıcıymış gibi ve kişisel olarak tanımlanabilir müşteri verileri, bazı finansal bilgiler ve kiralama veya nezaket otomobillerinin gerçek zamanlı konum izlemesine izin veren telematik sistemleri buldu.
Daha önce de söylediğimiz gibi, bu tam olarak Federal İletişim Komisyonu’nun (FCC) otomobil üreticilerinin takipçiler için daha da zorlanmasını istediği bir şey.
Zveare bulgularını Defcon’da sunacak. Araba üreticisine bulduğu böcekleri bildirdi ve onları düzeltmenin bir hafta sürdüğünü söyledi.
Bir takipçinin arabanızı izlemesini önlemek için ipuçları
Tüm otomobiller bu seçenekleri sunmaz ve ipuçları durumunuz için geçerli olmayabilir, ancak burada bir takipçinin hedefi olduklarından korkan insanlar için bazı genel ipuçları:
- Arabanızda yerleşik olandan ziyade telefonunuzda (Google Haritalar, Waze, vb.) Navigasyon uygulamasını kullanın.
- Arabanın navigasyonunda düzenli olarak ziyaret ettiğiniz yerleri depolamayın.
- Arabanızın sıcak noktasına bağlandığınızda bir VPN kullanmayı düşünün.
- Hangi cihazların otomobil için herhangi bir “uzaktan erişim” uygulamalarını kullanarak araca veya konum verilerine erişebileceğini öğrenin ve kontrolünüz altında olmayan cihazları kaldırın.
- Verilerinizin nereye gönderilebileceğini bilmeniz için otomobil üreticisinin gizlilik politikasını aşina olun. Size bir fikir vermek için veriler reklamverenler, kolluk kuvvetleri, servis sağlayıcılar, otomobil üreticisi ve bayileri, Apple, Google ve Amazon gibi teknoloji devleri, bağlı hizmet sağlayıcılar ve devlet kurumlarıyla sonuçlanabilir.
- Arabanızın potansiyel müdahalelere karşı en son koruma ile donatıldığından emin olmak için yazılımı güncel tutun.
- Şüpheli bir takipçi aracınıza yakınsa, izleyiciler ve diğer tanıdık olmayan donanımlar için iyice inceleyin.
- Yalnız seyahat etmemeye çalışın ve fiziksel güvenliğinizden endişe ediyorsanız, her zaman iyi aydınlatılmış, yoğun bir alanda park edin.
- Bulut depolama alanını kullanan bir dashcam’iniz varsa, görüntülere kimin erişebileceğini kontrol edin. Hareketlerinizi izlemek için kullanılabilirler.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.