Tesla araç sahipleri tarafından kullanılan bir kayıt yazılımındaki bir güvenlik açığı ve aynı araç sahiplerinin bazı zayıf güvenlik uygulamaları, bir siber güvenlik araştırmacısının 25’ten fazla aracın “tam kontrolünü” ele geçirmesine izin verdi. Kötü amaçlı yazılım gerekli değildi ve hiçbir virüsten koruma yazılımı sorunu tespit edemezdi.
İçinde Blog yazısıAlman araştırmacı David Colombo, güvenlik açığının kapıların ve pencerelerin kilidini açmasına, Sentry modunu devre dışı bırakmasına, kornaya basmasına ve hatta anahtarsız sürüşe başlamasına nasıl izin verdiğini açıkladı.
O zamandan beri yamalanan güvenlik açığı TeslaMate adlı araçta bulundu. Tesla sahiplerinin enerji tüketimi, enerji geçmişi veya sürüş istatistikleri gibi verilere erişmek için uç noktalarına yükleyebilecekleri ücretsiz bir kayıt yazılımıdır. Sorunun yattığı yer olan Tesla’nın API’sine erişmesi gereken, kendi kendine barındırılan bir web panosu.
API’leri İptal Etme
Pano anonim erişime izin verdi ve birçok kullanıcının değiştirmediği varsayılan bir şifre ayarıyla geldi. Colombo, kontrol paneli aracılığıyla Tesla API’sini çıkararak araca erişimini korumayı başardı ve ayrıca konum, son sürüş rotaları veya park yerleri gibi verilere erişim elde etti.
Neyse ki, araştırmacı aracın bu şekilde hareket ettirilebileceğine inanmıyor, ancak otoyolda giderken arabanın ışığını yakabilmek yeterince tehlikeli.
Colombo İngiltere, Avrupa, Kanada, Çin ve Amerika’da korumasız arabalar buldu.
Bu, Tesla’nın tarafında doğrudan bir güvenlik ihmali olmasa da, şirketin müşterilerini güvende tutmak için yapabileceği birkaç şey var, araştırmacı, endüstri standardı bir uygulama olan parola değiştirildiğinde API’yi iptal etmek de dahil olmak üzere iddia ediyor.
Colombo, sorunu keşfettikten sonra TeslaMate’in yaratıcılarıyla iletişime geçmeyi ve bir yama yayınlamalarını sağlamayı başardı. Konuşurken TechCrunchTeslaMate proje yürütücüsü Adrian Kumpf, yamanın Colombo’nun desteğini aldıktan sonra “birkaç saat içinde” yapıldığını söyledi.
Yine de Kumpf, yazılımın kendi kendine barındırıldığını ve kullanıcıların sistemlerini yanlışlıkla internete maruz bırakmasına karşı koruma sağlayamadığını vurguladı. TeslaMate, yazılımın “ev ağınıza yüklenmesi gerektiğine dair bir uyarıyla gelir, aksi takdirde Tesla API belirteçleriniz risk altında olabilir”.
Yine de, yamanın manuel olarak yüklenmesi gerekiyor.
- Ayrıca listemize de göz atmak isteyebilirsiniz. en iyi güvenlik duvarları şu an müsait
Üzerinden: TechCrunch