Tesla’nın 2025 PWN2OWN Hacking yarışmasında açıklanan Model 3 araçlarında yüksek güvenlikli bir kusur, saldırganların aracın lastik basınç izleme sistemi (TPMS) aracılığıyla uzaktan kötü niyetli kod yürütmesine izin verir.
Şimdi yamalı olan güvenlik açığı, otomotiv siber güvenliğinde artan riskleri vurgulamaktadır.
| Detay | Tanım |
| CVE kimliği | CVE-2025-2082 |
| CVSS Puanı | 7.5 (yüksek) – bitişik ağ saldırısı vektörü |
| Etkilenen araçlar | Tesla Model 3 (Firma Öncesi 2024.14) |
| Darbe | VCSEC Modülünde Tam Kod Yürütme, Bus Control Can Can Can |
| Düzeltme | Tesla ürün yazılımı sürüm 2024.14 |
| Kredili araştırmacılar | Synacktiv (Thomas Imbert, Vincent Exter, David Berard) |
Teknik döküm
Güvenlik açığı, güvenlik ve araç iletişimini yöneten bir modül olan Araç Kontrol Sistemi Elektronik Denetleyicisi’nde (VCSEC) bir tamsayı taşmasından kaynaklanmaktadır.
.png
)
TPMS-Kablosuz Sistem İzleme Lastik Basınç Atlatıcıları aracılığıyla manipüle edilmiş sertifika yanıtlarını göndererek bellek bozulmasını tetikleyebilir.
Bu, VCSEC üzerinde kontrol sağlar ve frenleme ve ivme gibi kritik işlevleri yöneten CAN veriyoluna yetkisiz komutlar sağlar.
Özellikle, sömürü yakınlık gerektirir (örn., Bluetooth/Wi-Fi aralığı), ancak kimlik doğrulaması yoktur, bu da onu belirlenmiş saldırganlar için erişilebilir hale getirir.
Kusur, önde gelen bir hack yarışması olan PWN2OWN 2025 sırasında siber güvenlik firması Synacktiv tarafından ortaya çıkarıldı. Tesla, sorunu Ekim 2024’te havadan bir ürün yazılımı güncellemesi (2024.14) ile ele aldı.
Tüm detaylar, koordineli açıklamanın ardından 30 Nisan 2025’te kamuya açıklandı.
Başarılı sömürü şunları yapabilir:
- Güvenlik özelliklerini devre dışı bırakın (örneğin, hava yastıkları, çarpışma uyarıları).
- Sürüş fonksiyonlarını (direksiyon, hızlandırma) manipüle edin.
- Hassas araç verilerini ortaya çıkarın.
Hiçbir gerçek dünya saldırısı rapor edilmemiş olsa da, ihlal bağlı otomobil sistemlerinin tehlikelerinin altını çizmektedir.
Synacktiv araştırmacısı Thomas Imbert, “Bu sadece kapıların kilidini açmakla ilgili değil-aracın temel sistemlerini kontrol etmekle ilgili” dedi.
Tesla, 2024’te yamayı sessizce sunarak güvenlik güncellemeleri için standart protokolüne bağlı kaldı. Sahipler, 2024.14 ürün yazılımını manuel olarak yüklemelidir:
- Musluk Yazılım arabanın dokunmatik ekranında.
- Seçme Güncellemeyi yükle Varsa.
Otomatik güncellemelere sahip araçlar muhtemelen düzeltmeye sahip.
Uzman önerileri
- Hemen Güncelle: Ürün yazılımının en az 2024.14 olduğundan emin olun.
- Ağları izleyin: Kamu/güvenilmeyen Wi-Fi’ye bağlanmaktan kaçının.
- Bilgilendirilmiş kalın: Tesla’nın güvenlik bildirimlerini etkinleştirin.
Araçlar daha akıllılaştıkça saldırı yüzeyleri genişliyor. Bu olay, sağlam otomotiv siber güvenlik uygulamalarına olan ihtiyacı güçlendiriyor.
Tesla sahiplerine, evrimleşen tehditlere karşı korunmak için ürün yazılımı sürümlerini doğrulamaları ve güncellemeleri derhal uygulamaları istenir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!