Siber güvenlik araştırmacıları, belirli Skoda ve Volkswagen otomobil modellerinin bilgi-eğlence sistemlerinde çeşitli güvenlik açıkları keşfetti. Bu güvenlik açıkları, bilgisayar korsanlarının hassas kullanıcı verilerini uzaktan izlemesine ve bunlara uzaktan erişmesine olanak tanıyabilir.
Otomotiv siber güvenlik konusunda uzmanlaşmış bir firma olan PCAutomotive, geçtiğimiz günlerde Black Hat Avrupa’da Skoda Superb III sedanın son modelini etkileyen 12 yeni güvenlik açığını açıkladı.
Öncelikle MIB3 bilgi-eğlence ünitesinde bulunan bu güvenlik açıkları, kötü niyetli aktörler tarafından araca kötü amaçlı yazılım yerleştirmek ve çeşitli işlevlere yetkisiz erişim sağlamak için kullanılabilir.
Etkilenen araçlar arasında 2022’de üretilen Skoda Superb III (3V3) 2.0 TDI yer alıyor ancak sorun potansiyel olarak benzer bilgi-eğlence sistemlerini kullanan diğer Skoda ve Volkswagen modellerini de kapsayacak.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
PCAutomotive, 1,4 milyondan fazla aracın savunmasız olabileceğini ve satış sonrası bileşenler dikkate alındığında gerçek sayının potansiyel olarak daha yüksek olduğunu tahmin ediyor.
Bilgisayar Korsanları Kullanıcıları Uzaktan Takip Edebilir
Bu güvenlik açıklarından başarıyla yararlanılması durumunda saldırganların şunları yapmasına olanak tanınabilir:
- Gerçek zamanlı GPS koordinatlarını ve hız verilerini edinin
- Araç içi konuşmaları aracın mikrofonu aracılığıyla kaydedin
- Bilgi-eğlence ekranının ekran görüntülerini yakalayın
- Arabada rastgele sesler çalın
- Araç sahibinin telefon iletişim veritabanına erişin
PCAutomotive güvenlik değerlendirme başkanı Danila Parnishchev, bir saldırganın, aracın medya ünitesine yalnızca Bluetooth bağlantısı kullanarak, kimlik doğrulaması olmadan 10 metrelik bir aralıktaki bu kusurlardan yararlanabileceğini belirtti.
Araştırmacılar ayrıca Skoda ve Volkswagen otomobillerinin OBD arayüzünde potansiyel saldırganların bilgi-eğlence ünitesindeki UDS kimlik doğrulamasını atlamasına olanak tanıyan sorunlar da tespit etti.
Özellikle endişe verici bir keşifte, bir güvenlik açığı potansiyel olarak araç yüksek hızda hareket ederken aracın motorunun ve diğer bileşenlerinin kapanmasına neden olabilir, ancak bu OBD bağlantı noktasına fiziksel erişim gerektirir.
| CVE Kimliği | Başlık | Önem Derecesi (CVSS 3.1) |
|---|---|---|
| CVE atanmadı | Bilgi-eğlence sistemi ECU’sunda SWD hata ayıklama arayüzü mevcuttur | Hesaplanmadı |
| CVE atanmadı | Güç Denetleyici Çipinde hata ayıklama konsolu | Hesaplanmadı |
| CVE-2023-28895 | Güç denetleyici çip belleğine erişim için sabit kodlu parola | 3,5 (Düşük) |
| CVE-2023-28896 | UDS hizmetlerinde şifre için zayıf kodlama | 3.3 (Düşük) |
| CVE-2023-28897 | UDS hizmetleri için sabit kodlu şifre | 4.0 (Orta) |
| CVE-2023-28898 | Apple CarPlay hizmeti aracılığıyla Ana Ünite Hizmet Reddi | 5.3 (Orta) |
| CVE-2023-28899 | ECU sıfırlama hizmeti yoluyla Hizmet Reddi | 4.7 (Orta) |
| CVE-2023-28900 | Arka uç otomotiv sunucusunda takma adın açıklanması | 5.3 (Orta) |
| CVE-2023-28901 | Fal-3a.prd.eu.dp.vwg-connect.com ana bilgisayarında yolculuk verilerinin açıklanması | 5.3 (Orta) |
Skoda’nın ana şirketi Volkswagen’in, siber güvenlik açıklama programı aracılığıyla bildirilen güvenlik açıklarını düzelttiği bildirildi.
Skoda sözcüsü Tom Drechsler, şirketin sorunları “sürekli iyileştirme yönetimi” yoluyla ele aldığını belirterek, müşteri güvenliği veya araçlar için hiçbir zaman tehlike bulunmadığının garantisini verdi.
Bu olay, modern araçlar giderek birbirine bağlı hale geldikçe ve karmaşık elektronik sistemlere bağımlı hale geldikçe siber güvenliğin artan önemini vurguluyor.
Otomobil üreticilerine araç tasarımlarında sağlam güvenlik önlemlerine öncelik vermeleri ve tüketicilere de bağlantılı otomobilleriyle ilişkili potansiyel riskler hakkında bilgi sahibi olmaları konusunda bir hatırlatma görevi görüyor.
Otomotiv endüstrisi daha ileri teknolojilerle gelişmeye devam ettikçe, araç sahiplerinin güvenliğini ve mahremiyetini sağlamak için sıkı siber güvenlik protokollerine ve düzenli güvenlik denetimlerine olan ihtiyaç her zamankinden daha kritik hale geliyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin