Otomotiv manzarası, mekanik harikalardan karmaşık bilgisayar sistemleri tarafından yönlendirilen tekerleklerdeki sofistike platformlara kadar önemli ölçüde gelişti. Şaşırtıcı bir şekilde, bu araçlar, elektronik kontrol birimleri (ECU’lar) olarak bilinen 50 ila 100’den fazla bağımsız işlemciye koşan 100 milyondan fazla kod tarafından yönetiliyor. Bunu perspektife sokmak için, modern bir mühendislik harikası olan Ford F-150 Lightning, 150 milyon kodda çalışır ve nispeten mütevazı 6,5 milyon satır koduna dayanan Boeing 787 Dreamliner’ı bile aşar.
Bu karmaşık kod, şerit tutma yardımından mobil cihazlarımızla sorunsuz bir şekilde bağlantı kurmaya ve en sevdiğimiz melodileri çalmaya kadar değişen görevlerden sorumlu modern otomobillerin can damarıdır. Günümüzde arabaların aslında bilgisayarları yuvarladığı söyleniyor. Bu duygu sebepsiz değildir. 1996 yılından bu yana Amerikan araçları ve 2001 Avrupalı araçlar için, standart konektörler (OBD/EOBD) yerel araç bilgisayar ağı (CAN VERİS) ile arayüzlemeye zorunlu tutulmuştur.
Ayrıca, gömülü LTE bağlantısı 2014’ten beri araçlara entegre edilmiştir, bu da üreticilerin performans verilerini toplamasına ve kilit/kilidin açma ve uzaktan başlatma işlevleri gibi uzaktan kumanda uygulamalarına izin verir.
Bununla birlikte, bu teknolojik sıçramanın kendi zorlukları vardır. Kapsamlı bir kod tabanı ile kod sızıntısı riski acil bir endişe haline gelir. Maruz kalan bir AWS API anahtarının hayati AWS kaynaklarına yetkisiz erişime neden olabileceği bir yazılım şirketinin aksine, otomotiv dünyasında riskler çok daha yüksektir. Otoyolda saatte 70 mil hızla incindiğini ve aracınızın kontrolünü uzaktan kaybettiğini düşünün. Bu sadece verilerle ilgili değil, araç içindeki ve çevresindeki her bireyin hayatıyla ilgili. Bu, otomobillerin hem fiziksel hem de uzak rakiplerin tehditlerine duyarlı değerli varlıklara dönüştüğü gerçeğinin altını çiziyor.
Yazılım tanımlı aracın (SDV) dönemi
SDV pazarının 2023’teki 43 milyar dolarlık piyasa büyüklüğünden 2030’a kadar potansiyel 150 milyar dolara kadar önemli ölçüde büyümesi bekleniyor. Tesla tarafından öncülük eden otomotiv şirketleri, yazılım ilk varlıklar olmaya doğru değişiyor. Ford’un son elektrikli araçlar, F-150 Lightning ve Mustang Mach-e SUV lansmanları bu dönüşümün altını çiziyor. Ancak, teknoloji ilerledikçe kod güvenlik uygulamalarının birlikte gelişmesi gerektiğini kabul etmek zorunludur.
Gösterişli bilgi -eğlence sistemleri ve kesintisiz navigasyon deneyimlerinin ötesinde, herhangi bir aracın güvenliğinin temelini temeldeki güvenlik altyapısında yatmaktadır. Örneğin, gömülü Linux üzerinde çalışan araç içi bilgi-eğlence (IVI) sistemleri, kişisel olarak tanımlama bilgilerini (PII) gibi hassas bilgileri saklayın. Bu sistemler genellikle gömülü LTE bağlantısı ile birlikte geniş bir saldırı yüzeyi oluşturan motor, fren ve sensörler gibi hayati alt sistemlerle birbirine bağlanır, bu da bilgisayar korsanlarının bilgi -eğlence sistemini hedefledikleri takdirde hassas bilgilere erişim kazanabilecekleri ve hayati araç işlevleri üzerinde potansiyel olarak kontrol edinebilecekleri anlamına gelir. Buradaki sağlam güvenlik önlemleri pazarlık edilemez.
Kaynak kodunun ve sırların acımasız gerçekliği sızıyor
En kritik kaygılardan biri, sert kodlanmış kimlik bilgilerinin sızıntısı etrafında döner. Kötü aktörlerin güvenlik açıklarını tanımlaması ve kullanması gereken geleneksel saldırıların aksine, sert kodlanmış sırlardan minimum çaba ile sömürülebilir. Bu, müşteri veri ihlallerine, fikri mülkiyet hırsızlığına, şirket çapında sistem manipülasyonuna ve hatta araçları kontrol etmek için mobil uygulamalara yetkisiz erişime yol açabilir.
Üreticiler, tüketici davranışı hakkında zengin bir bilgi içeren geniş veri göllerini biriktirir. Bu veriler ürünleri rafine etmek ve kullanıcı deneyimlerini geliştirmek için paha biçilmez olsa da, önemli bir güvenlik riski oluşturmaktadır. Bu veri göllerindeki herhangi bir ihlal, bireysel sürücüleri ve tüm kullanıcı tabanlarını etkileyen geniş kapsamlı sonuçlara sahip olabilir.
Otomotiv endüstrisi, veri gizliliğinin (GDPR ve California Tüketici Gizlilik Yasası (CCPA) uyumluluğu) ve varlıklarını siber tehditlere karşı güvence altına almanın ikili zorluğuyla karşı karşıyadır. Burada bir ihlal müşteri kimliği hırsızlığı, finansal sahtekarlık ve ağır düzenleyici para cezalarına neden olabilir. Büyük otomobil üreticilerini içeren son ihlaller, gelişmiş sırlar yönetimi duruşuna acil ihtiyaç duyduğunu hatırlatıyor. Daimler, Nissan, Toyota ve diğerleri, yanlış yapılandırmalar ve maruz kalan sırlar nedeniyle hassas müşteri verilerinin yanlışlıkla maruz kaldığı olaylarla karşı karşıya kaldılar.
Bu, özellikle GitGuardian Sırlar Sırplama Raporu’ndan endişe verici vahiylerle tanışanlar için sürpriz olmamalıdır. Çalışma, sadece 2022’de kamu Github depolarına maruz kalan şaşırtıcı 10 milyon sır açıkladı. Geniş bir gölge, dokunma uygulamaları, tüm tedarik zinciri ve kritik altyapının omurgası oluşturan bir endişe.
Secre’yi ihmal etmenin yüksek riskleriTS Güvenliği
Otomotiv yazılımının yaklaşık% 85’i, yukarı akış satıcılarından kaynaklanan açık kaynaklı kod ve bileşenleri içerir. Bir bileşendeki bir ihlal, farklı üreticilerdeki birden fazla otomobil modelini etkileyebilir. Bu nedenle, potansiyel sır olayları için otomotiv tedarik zincirindeki her bağlantıyı incelemek zorunludur. Sonuçta, araçlardaki sabit kodlanmış kimlik bilgileri sadece otomobil üreticileri ile sınırlı değildir; Tedarik zinciri boyunca uzanırlar. Yazılımıyla donatılmış her bileşen, bazen bunları korumak için sağlam güvenlik önlemleri olmayan gömülü sırları barındırabilir.
Bu karmaşık bağlantılı ekosistem içinde, telematik sunucusu, araçlardan veri alan ve uzaktan komutlar yürüten çok önemli bir ağ geçididir. Ne yazık ki, genellikle yetersiz korunurlar, araçları yetkisiz erişime duyarlı bırakırlar. Bu sistemdeki bir ihlal, sahiplerini kilitlemekten araçlarından kilitlenmeden düzensiz ve potansiyel olarak tehlikeli davranışlar başlatmaya kadar korkunç sonuçlar doğurabilir. Aşırı durumlarda, saldırganlar bir aracın direksiyonunun kontrolünü bile ele geçirebilir, yolda hayatları zorlayan. Bu, Android ve iOS uygulamaları içindeki sağlam sırların güvenliğine ve komut ve kontrol (C&C) altyapısının kritik ihtiyacının altını çizmektedir.
Bu daha geniş endüstri manzarasında devam eden bir “onarım hakkı” tartışması olmuştur. Bağımsız tamir atölyelerine hayati araç verilerine erişim sağlayan önemli bir adım atıldı. Ancak, bu erişim genişledikçe, veri güvenliği endişesi de artmaktadır. Yazılım tanımlı önemli bileşenlerin korunması, hassas kod ve kullanıcı bilgilerini yanlışlıkla ortaya çıkarmamalarını sağlayarak çok önemli hale gelir. Bu bağlamda, sırlar algılama kritik bir savunma katmanı olarak ortaya çıkar ve genişletilmiş erişimde bile hassas verilerin güvenli kalmasını garanti eder.
Araçlar giderek daha fazla güncellemeler geçirdikçe, (OTA) süreçleri ile güncellemeler yaptıkça, saldırganlar için potansiyel bir giriş noktası oluşturur. Bu güncellemeleri ele geçirmek, incelemek ve manipüle etmek, fidye yazılımı saldırılarının yolunu açarak “sert kodlanmış sırlar” dahil olmak üzere gizli özellikleri, işlevleri ve hassas bilgileri ortaya çıkarabilir. Bu, hassas kod ve kullanıcı bilgilerinin korunmasının kritik önemini vurgulamaktadır. Otomotiv endüstrisi dijital çağa girdikçe, bir şey çok açıktır: hem araçların hem de yolcularının güvenliği ve güvenliği sağlam sırların korunmasına bağlıdır.
Otomotiv yazılımının güvenliği, tüm tedarik zincirinden toplu çaba gerektiren çok yönlü bir zorluktur. Güvenlik önlemlerinin entegre edilmesi, geliştirme sürecinin başlangıcından itibaren burada çok önemlidir.
Bahisler yüksektir ve gelecekteki araçların teknolojiyle göz kamaştırmasını ve kaya gibi sağlam kod güvenlik önlemleriyle güçlendirilmesini sağlamak için sektörde. Önümüzdeki yol dönüşüm ve yeniliktir; Dikkatli ve öngörü ile gezinmeliyiz.
Yazar hakkında
Soujanya Ain, Gitguardian’da ürün pazarlama müdürüdür. Hikayeyi uygulama güvenliği etrafında yaymaya yardımcı olur ve şirketlerin bugün karşılaştığı AppSec zorlukları.
Web sitesi: www.gitguardian.com
Twitter kolu: https://x.com/gitguardian
LinkedIn: https://www.linkedin.com/company/gitguardian