19 yaşındaki Tesla hacker David Colombo hakkındaki vızıltıları hak ediyor. Üçüncü taraf yazılımındaki bir kusur, 13 ülkede dünyanın önde gelen EV üreticisinin araçlarının 25’ine uzaktan erişmesine izin verdi. Bilgisayar korsanı, kapıları uzaktan açabildiğini, camları açabildiğini, müzik çalabildiğini ve her aracı çalıştırabildiğini paylaştı.
Sömürdüğü güvenlik açıkları Tesla’nın yazılımında değil, üçüncü taraf bir uygulamada, dolayısıyla Colombo’nun başarabileceklerinin bazı sınırları var; direksiyon, hızlanma veya yavaşlama yolunda hiçbir şey yapamıyordu. Ancak kapıları açmayı, kornayı çalmayı, el fenerlerini kontrol etmeyi ve saldırıya uğramış araçlardan özel verileri toplamayı başardı.
EV’ler eğlencelidir. Süper bağlantılıdırlar, sürekli güncellenirler ve harika bir kullanıcı deneyimi sunarlar, ancak bunlar cep telefonu değil, arabadır. Assaf Harlel
Siber güvenlik uzmanları için, bu tür uzaktan kod yürütme veya uygulama anahtarlarının çalınması günlük bir olaydır, ancak umuyorum ki, ifşaları ihlal etmeye karşı duyarsızlaşmamamız ve bu fırsatı tüm paydaşları eğitmek için öğretilebilir bir an olarak kullanma fırsatını kaçırmamamızdır. bağlı araba ekosistemi.
Bu uzlaşma bir siber güvenlik hijyeni 101 sorunudur ve açıkçası yapılmaması gereken bir hatadır. Söz konusu üçüncü taraf yazılım, kendi kendine barındırılan bir veri kaydedici olabilir, çünkü Tesla, Colombo’nun Twitter ileti dizisini yayınlamasından ve onlara bildirmesinden bir gün sonra aniden binlerce kimlik doğrulama jetonunu kullanımdan kaldırdı. Diğer bazı Twitter kullanıcıları, uygulamanın varsayılan yapılandırmasının herhangi birinin araca uzaktan erişim sağlama olasılığını açık bıraktığını belirterek bu fikri destekledi. Bu aynı zamanda Colombo’nun güvenlik açığının “Tesla’nın değil, sahiplerinin hatası” olduğunu iddia eden ilk tweet’ini takip ediyor.
Son otomotiv siber güvenlik standartları SAE/ISO-21434 ve BM Düzenlemesi 155, otomobil üreticilerine (diğer adıyla OEM’ler) tüm araç mimarilerinde tehdit analizi ve risk değerlendirmesi (TARA) yapmalarını zorunlu kılıyor. Bu düzenlemeler, OEM’leri siber riskler ve risklerden sorumlu hale getirdi. Para orada durur.
Tesla gibi gelişmiş bir OEM’in API’lerini üçüncü taraf uygulamalara açma riskini göze alması biraz garip. Düşük kaliteli uygulamalar iyi korunmayabilir, bu da bilgisayar korsanlarının zayıflıklarından yararlanmalarına ve uygulamayı araca bir köprü olarak kullanmalarına olanak tanır, durum burada göründüğü gibi. Üçüncü taraf uygulamaların bütünlüğü otomobil üreticilerine aittir: Bu uygulamaları taramak veya en azından API’lerinin arayüzünü sertifikalı olmayan üçüncü taraf uygulama sağlayıcılarına engellemek onların sorumluluğundadır.
Evet, tüketicilerin, OEM’leri tarafından onaylanan veya denetlenen uygulama mağazalarından uygulamaları sık sık indirip güncellediklerinden emin olma konusunda bazı sorumlulukları vardır, ancak OEM’lerin sorumluluğunun bir kısmı, TARA sürecinde bu tür riskleri belirlemek ve yetkisiz kişilerin erişimini engellemektir. araçlarına uygulamalar.
Karamba Güvenlik olarak 2021’de birkaç on TARA projesi yürüttük ve OEM’lerin güvenlik hazırlığında çok çeşitli olduğunu gördük. Yine de, müşteri güvenliğini sağlamak ve yeni standart ve yönetmeliklere uymak için mümkün olduğu kadar çok riskin belirlenmesine ve üretim öncesi ele alınmasına büyük önem veriyorlar.
OEM’lerin kullanmasını önerdiğimiz en iyi uygulamalar şunlardır:
- Sırları/sertifikaları güvence altına alın – bu, başarılı bir şekilde birinin kimliğine bürünmeye bağlı uzun bir saldırı listesi sağlar veya başka bir şey başarısız olur (ürün yazılımının değiştirilmesi, kimlik bilgilerinin sahteciliği vb.).
- Segment Erişimi ve işlevsellik (kullanıcı için şeffaf bir şekilde) – bir noktada başarısız olsa bile hasar sınırlıdır.
- Sürekli olarak kendinizi test edin (veya başkalarının bunu yapması için bir ödül programı kurun) ve bulduğunuz her şeyi çabucak düzeltin.
- Bilgi-eğlence, telematik ve yerleşik şarj cihazı gibi harici olarak bağlı sistemlerinizi güçlendirerek uzaktan kod yürütme saldırılarına karşı koruma sağlayın.
- API’lerinizi kapatın. Yetkisiz kişilerin bunları kullanmasına izin vermeyin. Böyle bir uygulama, son saldırıyı önleyebilirdi.
Tüketicilere tavsiyemiz, OEM’in mağazasında bulunmayan uygulamaları indirmekten kesinlikle kaçınmalarıdır. Göründüğü kadar çekici, bu tür uygulamalar sürücüyü ve yolcuları aşırı siber ve gizlilik risklerine maruz bırakabilir.
EV’ler eğlencelidir. Süper bağlantılıdırlar, sürekli güncellenirler ve harika bir kullanıcı deneyimi sunarlar, ancak bunlar cep telefonu değil, arabadır. Araçlara bilgisayar korsanlığı yapmak, sürücü güvenliğini ve mahremiyetini tehlikeye atar.