DEF CON’da ortaya çıkan yeni bir siber güvenlik vakası, modern bağlantılı otomobillerin ne kadar ciddi riskler barındırabileceğini bir kez daha gösterdi. Güvenlik araştırmacısı Eaton Zveare, popüler alt markaları olan ve dünya çapında tanınan bir otomobil üreticisinin bayi portalındaki güvenlik açığını kullanarak, araç sahiplerinin bilgilerine ve araç fonksiyonlarına erişebildiğini açıkladı.
Araştırmaya göre bu açık, üreticinin çevrimiçi bayi giriş sistemindeki zayıf noktadan kaynaklanıyordu. Zveare, bu sistemi tamamen oturum açma adımlarını atlayarak geçebildi ve kendisine “ulusal yönetici” (national admin) yetkileri veren bir hesap oluşturdu. Bu yetkilerle, portalın kullanıcı arama aracını kullanarak herhangi bir aracı bir mobil uygulama hesabıyla eşleştirebildi.
Günümüzde çoğu araç uygulaması, uzaktan kapı kilidini açma/kapama, motoru çalıştırma, aracın konumunu görüntüleme gibi özellikler sunuyor. Zveare, yalnızca bir kişinin adı-soyadı veya araç VIN numarası ile hedefe ulaşabildiğini belirtiyor. Teoriyi test etmek için bir arkadaşının aracıyla deneme yaptı ve arkadaşının uygulama hesabının sahipliğini kendisine devrederek tüm uzaktan erişim haklarını elde etti.
Araştırmacı, aracı çalıştırıp sürüp süremeyeceğini test etmedi, ancak bu seviyede erişim, kişisel eşyalar, araç verileri ve potansiyel fiziksel güvenlik açısından ciddi bir risk oluşturuyordu.
Neyse ki Zveare, bu açığı kötü niyetli şekilde kullanmadı ve doğrudan üreticiye bildirdi. Üretici, güvenlik zafiyetinin giderildiğini ve Zveare dışında herhangi bir şüpheli erişim tespit edilmediğini açıkladı. Ancak olay, bağlantılı araçların siber güvenlik konusundaki hassasiyetini ve bu sistemlerin saldırılara ne kadar açık olabileceğini bir kez daha ortaya koyuyor.
Leave a Reply