Güvenlik araştırmacıları, milyonlarca modern aracı koruyan haddeleme kodu güvenlik sistemlerini tamamen atlayabilen popüler Flipper Sıfır cihazı için endişe verici yeni ürün yazılımı keşfettiler.
YouTube kanalı konuşan Sasquatch tarafından gösterilen atılım saldırısı, otomotiv siber güvenlik tehditlerinde önemli bir artışı temsil eder ve bir aracın tüm anahtar FOB işlevselliğini tehlikeye atmak için sadece tek bir yakalanan sinyal gerektirir.
Devrimci tek yakalama saldırı yöntemi
Rolling Code Systems’a yönelik önceki saldırıların aksine, bu yeni ürün yazılımı, daha önce kullanılmayan karmaşık gereksinimleri, yaygın kullanım için pratik olmayan hale getirir.
Haddeleme kodu güvenliği, her bir şanzıman için benzersiz kodlar oluşturmak için anahtar FOB’lar ve araçlar arasında senkronize algoritmalar kullanan otomotiv erişim kontrolü için altın standart olarak kabul edilmektedir.
Bu sistem, kesilen sinyallerin kötü niyetli aktörler tarafından yeniden kullanılabileceği tekrar atakları önlemek için özel olarak tasarlanmıştır.
Geleneksel Rolljam saldırısı, teorik olarak etkili olsa da, aynı anda orijinal şanzımanı kaydederken sinyal sıkışmasının sofistike koordinasyonunu gerektiriyordu.
Bu ikili eylem yaklaşımı, pratik tehdit potansiyelini sınırlandırarak gerçek dünya senaryolarında güvenilir bir şekilde yürütülmeyi zorlaştırdı.
Yeni keşfedilen ürün yazılımı, herhangi bir hedef anahtardan yalnızca tek bir düğme basımı yakalaması gerektirerek bu manzarayı temel olarak değiştirir.
Elde edildikten sonra, cihaz kilit, kilit açma ve bagaj serbest bırakma komutları dahil tüm standart işlevleri mükemmel bir şekilde taklit edebilir.
Bu dramatik basitleştirme, saldırıyı minimum teknik uzmanlığa sahip bireyler için erişilebilir hale getirerek potansiyel tehdit yüzeyini önemli ölçüde genişletir.
Saldırı metodolojisi, tanımlanmış dizi güvenlik açıkları veya bilinen kodların veritabanlarına karşı kaba kuvvet analizi yoluyla yuvarlanma kodu dizilerinin ters mühendisliğinden yararlanıyor gibi görünmektedir.
Alternatif araştırmalar, ürün yazılımının, senkronizasyon sistemi geri dönüşlerini zorlamak için yakalanan yuvarlanma kodlarını belirli dizilerde manipüle eden akademik “geri alma” saldırısına dayanabileceğini düşündürmektedir.
Test, Chrysler, Dodge, Fiat, Ford, Hyundai, Jeep, Kia, Mitsubishi ve Subaru gibi birçok büyük otomotiv üreticisinde güvenlik açıklarını doğruladı.
Geniş üretici etkisi, markaya özgü güvenlik kusurları yerine yaygın olarak kabul edilen haddeleme kodu uygulamalarında temel zayıflıkları önermektedir.
Başarılı saldırıların kritik bir sonucu, orijinal anahtar foblarının kalıcı desenkronizasyonudur ve bunları tamamen işlevsel değildir.
Bu, meşru erişim cihazları yetkisiz yakalamalardan sonra çalışmaz hale gelen araç sahipleri için hem acil erişim endişeleri hem de potansiyel iplikçik senaryolar yaratır.
Şu anda, yazılım tabanlı yamalar veya basit ürün yazılımı güncellemeleri bu güvenlik açıklarını ele alamaz.
Yuvarlanan kodu sistem uzlaşmasının temel doğası, etkili çözümlerin muhtemelen etkilenen araç filolarında kapsamlı donanım değişiklikleri veya tam sistem değiştirmeleri gerektireceği anlamına gelir.
Endüstri uzmanları, kitlesel araç hatırlamalarının, etkilenen üreticiler için eşi görülmemiş lojistik ve finansal zorluklar yaratarak tek kapsamlı çözümü temsil edebileceği konusunda uyarıyor.
Keşif, otomotiv siber güvenlik planlamasındaki kritik boşlukları ve gelecekteki araç tasarımlarında daha sağlam erişim kontrol sistemlerine acil ihtiyacı vurgulamaktadır.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir