16 farklı üreticiden milyonlarca aracı etkileyen çok sayıda hata, arabaların kilidini açmak, çalıştırmak ve izlemek için kötüye kullanılabilir ve ayrıca araç sahiplerinin mahremiyetini etkileyebilir.
bu güvenlik açıkları Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota’ya güç veren otomotiv API’lerinde ve ayrıca Reviver yazılımında bulundu. SiriusXM ve Spireon.
Kusurlar, dahili şirket sistemlerine ve kullanıcı bilgilerine erişim sağlayanlardan, bir saldırganın kod yürütmeyi gerçekleştirmek için uzaktan komutlar göndermesine olanak tanıyan zayıflıklara kadar geniş bir yelpazede yer alır.
Araştırma, Yuga Labs araştırmacısı Sam Curry ve arkadaşlarının, SiriusXM tarafından sağlanan bağlantılı bir araç hizmetindeki arabaları potansiyel olarak uzaktan saldırı riskine sokabilecek güvenlik kusurlarını detaylandırdığı geçen yılın sonlarına ait önceki bulgulara dayanıyor.
Spireon’un telematik çözümünü ilgilendiren sorunların en ciddisi, tam yönetim erişimi elde etmek için kullanılmış olabilir, bu da bir saldırganın yaklaşık 15,5 milyon araca keyfi komutlar vermesinin yanı sıra cihaz yazılımını güncellemesine olanak tanır.
Araştırmacılar, “Bu, bir dizi farklı büyük şehir için polis, ambulans ve kolluk araçlarının marş motorlarını takip etmemize ve kapatmamıza ve bu araçlara komutlar göndermemize izin verirdi” dedi.
Mercedes-Benz’de tanımlanan güvenlik açıkları, yanlış yapılandırılmış çoklu oturum açma (SSO) kimlik doğrulama şeması aracılığıyla dahili uygulamalara erişim sağlayabilirken, diğerleri kullanıcı hesabının ele geçirilmesine ve hassas bilgilerin ifşa edilmesine izin verebilir.
Diğer kusurlar, müşteri kayıtlarına, dahili bayi portallarına erişmeyi veya bunları değiştirmeyi, araç GPS konumlarını gerçek zamanlı olarak izlemeyi, tüm Reviver müşterileri için plaka verilerini yönetmeyi ve hatta araç durumunu “çalıntı” olarak güncellemeyi mümkün kılar.
O zamandan beri tüm güvenlik açıkları, sorumlu ifşanın ardından ilgili üreticiler tarafından giderilmiş olsa da, bulgular, tehditleri kontrol altına almak ve riski azaltmak için derinlemesine savunma stratejisine duyulan ihtiyacı vurguluyor.
Araştırmacılar, “Bir saldırgan, araç telematik sistemlerinin kullandığı API uç noktalarında güvenlik açıkları bulabilirse, kornaya basabilir, ışıkları yakabilir, uzaktan izleyebilir, araçları tamamen uzaktan kilitleyebilir/kilidini açabilir ve çalıştırabilir/durdurabilir.”
“Cihazlarımızın birbirine bağlı olması, arabaların emniyete alınmasını daha zor hale getiriyor – örneğin, Arabalara yapılan siber saldırılar %225 arttı HackerOne teknik servisler üst düzey yöneticisi Sandeep Singh, yaptığı açıklamada, otomotiv bilgisayar korsanlığındaki artışı ve etik bilgisayar korsanlığı topluluğuyla işbirliği yapma ihtiyacını açıklayan bir açıklamada, “Son üç yılda, bu saldırıların %84,5’i uzaktan gerçekleştirildi” dedi.
Singh, “Otomobil teknolojisi daha da geliştikçe, akıllı yazılım sistemlerinin karmaşıklığı da artıyor” diye ekledi. “‘Akıllı’ özelliklerin neden olduğu yazılım tedarik zinciri güvenlik açıklarını belirlemek, yazılım ve donanım sistemleri hakkında derin bilgi ve bağlantılı araçlara ve otomotiv sistemlerine özgü özel protokollerin anlaşılmasını gerektirir.”