Büyük otomobil üreticilerinin çoğu, bilgisayar korsanlarının aşağıdaki etkinlikleri uzaktan gerçekleştirmek için araçlarına erişmesine olanak tanıyan güvenlik açığı sorunlarını ele aldı:-
- arabayı kilitle
- arabanın kilidini aç
- Motoru çalıştır
- kornaya basın
- Farları yak
- 2012’den sonra yapılan bazı arabaların bagajını açın
- arabayı bul
SiriusXM’de kusur
Piyasada bulunan en yaygın kullanılan bağlantılı araç platformlarından biri olan SiriusXM, platformunda tüm büyük araç markalarını etkileyen kritik bir hataya sahiptir.
Güvenlik araştırmacıları arasında, Yuga Labs’tan Sam Curry gibi bağlantılı araçlara özel bir ilgi var. Aslında, rutin araştırması sırasında büyük araba üreticilerinin bağlantılı arabalarında bir güvenlik açığı keşfetmekten sorumlu olan kişi oydu.
Araç teknolojilerinin bir parçası olarak Sirius XM telematik ve bilgi-eğlence sistemlerini kullanan çok sayıda otomobil üreticisi vardır.
Etkilenen Araba Markaları
Aşağıda, SiriusXM’deki bu kritik hata nedeniyle etkilenen markaların adlarından bahsetmiştik: –
- Acura
- BMW
- honda
- hyundai
- sonsuzluk
- Jaguar
- Land Rover
- Lexus
- Nissan
- subaru
- toyota
Güvenlik Açığı Analizi
Verilerin analiz edilmesi sürecinde, Sirius XM’nin uzaktan yönetimi için araç kayıt sürecinde kullanılan bir alan adı (http://telematics(.)net) olduğu tespit edilmiştir.
Kusur, SiriusXM’nin uzaktan yönetim işlevselliği için kayıt işlemiyle ilişkilidir ve bu da aracın kurcalanmasına neden olur.
Araştırmacıların bulguları hakkında detaylı bir şey paylaşmadıkları için şu an için herhangi bir teknik bilgi mevcut değil.
Alanla ilgili daha fazla analiz yapıldığında, Nissan Car Connected Uygulamasının bu alandaki en bol ve en sık başvurulan uygulamalardan biri olduğu ortaya çıkıyor.
Telematik platformu aracılığıyla değiş tokuş edilen verilerin yetkilendirilebilmesi için yalnızca araç kimlik numarasının (VIN) kullanılması yeterlidir. Bu nedenle, aracın VIN’i, numarayı bilen herkes tarafından çeşitli komutları gerçekleştirmek için kullanılabilir.
Bir sonraki adım, daha sonra uygulamaya giriş yapmak olacaktır ve ardından uzmanlar, bir Nissan otomobil sahibinden gelen HTTPS trafiğini inceledi.
Araştırmacılar, derin bir analiz yaptıkları tarama sırasında bir HTTP isteği keşfettiler.
Ön ekli bir VPN kimliğini müşteri kimliği olarak aşağıdaki şekilde ileterek hamiline belirteç iadesi ve “200 OK” yanıtı elde etmek mümkündür: –
Yetkilendirme taşıyıcısını bir HTTP isteğinde kullanan araştırmacılar, kurbanın kullanıcı profili hakkında bilgi toplamaya çalıştılar ve sonuç olarak aşağıdaki bilgileri başarıyla aldılar:-
- İsim
- Telefon numarası
- Adres
- Araba detayları
Buna ek olarak, SiriusXM tarafından telematik hizmetleri için kullanılan API çağrıları, kullanıcının SiriusXM ile aktif bir aboneliği olmasa bile çalıştı.
Geliştiriciler veya sahipler, savunmasız bir uygulamanın güvenliğini sağlama sürecine dahil olmadıkları sürece, o uygulamanın güvenliğini garanti etmek imkansızdır. Bu nedenle, güvenlik güncellemeleri ve yamaları yayınlayabilecek tek kişi onlar olmalıdır.
öneriler
Aşağıda, güvenlik analistleri tarafından yapılan önerilerden bahsetmiştik: –
- Arabanızın VIN numarasını güvenilir olmayan üçüncü taraflarla paylaşmadığınızdan emin olun.
- Aracınızı hırsızlardan korumak için araca bağlı her uygulama için benzersiz şifreler kullanmak zorunludur.
- Parolalarınızı düzenli aralıklarla değiştirerek güncel tutun.
- Sisteminizi güncel tutmak, kullanıcılar için bir öncelik olmalıdır.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin