Son nokta güvenliği, yönetişim ve risk yönetimi, Nesnelerin İnterneti Güvenliği
Araba yazılımındaki Bluetooth kusurları, bilgi -eğlence sistemlerinin kaçırılmasını sağlayabilir
Anviksha More (Anvikshamore) •
14 Temmuz 2025
Yeni araştırma şovları, otomobillerin telefonlara ve diğer cihazlara bağlanmasına yardımcı olan bir dizi kritik Bluetooth kusuru, saldırganların Mercedes-Benz, Skoda ve Volkswagen gibi büyük otomobil üreticileri tarafından kullanılan araba bilgi-eğlence sistemlerinin kontrolünü ele geçirmesini sağlayabilir.
Ayrıca bakınız: Gartner Raporu | SD-WAN için Sihirli Çeyrek
PCA Security tarafından perfektBlue olarak adlandırılan güvenlik açığı zinciri, OpenSynergy tarafından Blue SDK adlı geliştirilen yaygın olarak kullanılan bir Bluetooth yazılım yığınında keşfedildi. Kusurlar, daha önce eşleştirilmiş bir cihazın, yalnızca bir kullanıcı etkileşimi ile bir uzaktan kod yürütme saldırısını tetiklemesine izin verir – bir istemi tıklamak gibi – potansiyel olarak saldırganlara bilgi, navigasyon ve kişisel verilere erişim gibi işlevler üzerinde kontrol sağlar.
Modern araçlar, birbirine bağlı birden fazla bilgisayar sistemi veya “otomobil ağları” ile inşa edilmiştir. Bilgi -eğlence sistemi bu ağa bağlanır ve genellikle Ethernet veya Can Bus gibi paylaşılan veri yolları aracılığıyla diğer araç bileşenleriyle iletişim kurar. Bu yolların dijital “kontrol noktalarına” sahip olması gerekiyordu – araç içi bilgi -eğlence sisteminin ne iletişim kurabileceğini ve iletişim kuramayacağını kontrol eden ağ geçitleri veya güvenlik duvarları.
Ancak tüm üreticiler bu kontrol noktalarını aynı şekilde tasarlamıyor. Bazı otomobillerde, bilgi -eğlence sisteminin diğer sistemlerle çok özgürce veri alışverişine izin verilir. Bu, saldırganların bilgi -eğlence sistemine (ilk sahil başlığı) eriştikten sonra, aracın dijital altyapısının daha derin kısımlarına dönmeye çalışabilirler. Saldırganlar, PerfektBlue gibi bir Bluetooth güvenlik açığı yoluyla bilgi -eğlence sistemini kontrol ederse, daha geniş araç ağına yetkisiz komutlar göndermeyi denemek için bu dayanağı kullanabilirler.
Saldırı, daha önce otomobilin Bluetooth sistemiyle eşleştirilmiş bir cihazdan erişime girer – genellikle bir sürücünün akıllı telefonu. Bu eşleştirme, sistem içindeki daha yüksek bir güven ve erişim seviyesine izin verir ve ilk kez veya güvenilmeyen bağlantılar için gereken güvenlik kontrollerinin çoğunu atlar. PerfektBlue’dan yararlanmak, saldırganın hedef aracın Bluetooth aralığında olmasını gerektirir – tipik olarak yaklaşık 10 metre. Bir saldırgan hala daha önce eşleştirilmiş bir cihaza sahipse veya artışa sahip olabilirse – veya bazı durumlarda verileri kurtarabilirse – yeniden kimlik doğrulama adımlarını atlamak için bağlantı güvenini kullanabilir ve sadece yakınlarda istismar tetikleyebilirler. Bazı durumlarda, saldırganlar, fiziksel olarak mevcut kalmadan saldırıyı gerçekleştirmek için bir park yerinde veya garajda aracın yanına küçük bir Bluetooth özellikli cihaz ekebilirler.
PerfektBlue istismar zinciri, güvenliği atlamak ve keyfi kod yürütmek için konserde çalışan dört güvenlik açıkından oluşur. PCA Güvenliği, etkilenen satıcılara, ilgili yetkililere ve yer tutucu CV’lere özel olarak teknik ayrıntıları özel olarak açıkladı, ancak henüz kamuya açık değildi. Kusurlar, bir saldırganın program yürütmesini istikrarsızlaştırmasına veya yeniden yönlendirmesine izin veren bir bellek bozulması sorunu, Bluetooth iletişimlerinde giriş uzunluklarının nasıl doğrulandığına dair bir mantık kusuru, bir dayanak kazandıktan sonra sistem ayrıcalıklarını yükseltmek için bir yöntem ve daha önce eşleştirilmiş veya spoofed bir cihaz tarafından kullanıcı etkileşimi olmadan yeniden bağlanmaya izin veren bir hata.
Toplu olarak, bu güvenlik açıkları, bilgi -eğlence sistemi içindeki kısıtlamaları, bellek güvenliği kontrollerini ve ayrıcalık ayrımını eşleştirerek normal olarak korunan saldırı yüzeyini azaltır. Bir sürücünün sadece kötü zamanlanmış bir şekilde dokunmasıyla – ekranlarında bir istemi kabul etmek gibi – içeride bir saldırgan
Bluetooth serisi, potansiyel olarak mikrofona, GPS verilerine ve hatta telematik sistemlerine erişim sağlayarak keyfi kod yürütebilir. Bilgi -eğlence sistem sistemlerinin yeterince bölümlü olduğu bazı araç mimarilerinde, saldırganlar fiziksel güvenlik fonksiyonlarına bağlı sistemlere ulaşmaya çalışabilirler.