Araba alıcıları yeni bir otomobil satın alırken genellikle pek çok soruyla karşılaşırlar, ancak çok azı bir saldırganın yalnızca plaka bilgilerini kullanarak aracını uzaktan kontrol edip edemeyeceğini düşünebilir.
Ancak bu, bağımsız güvenlik araştırmacılarının onları bu konuda uyarmasının ardından, otomobil üreticisinin böyle bir erişimi mümkün kılan bir kusuru düzelttiği Ağustos ortasına kadar milyonlarca Kia aracının izin verdiği şeyin tam olarak aynısıydı.
Kia Otomobil ve SUV’ların Uzaktan Kontrolü
Bu aksaklık, aynı grup araştırmacının ve diğerlerinin son yıllarda keşfettiği aksaklıklara benziyor ve kesinlikle halihazırdaki yüksek endişeleri artırıyor. modern bağlantılı araçların güvenlik açığı siber saldırılara.
26 Eylül tarihli bir rapordabağımsız araştırmacı Sam Curry, Kia’nın güvenlik açığını takip araştırması yaparken keşfettiğini söyledi. kendisinin ve meslektaşlarının birkaç yıl önce keşfettiği birçok kusur Kia, Honda, Infiniti, Nissan, Acura, BMW, Mercedes ve diğer markaların araçlarında.
O dönemde araştırmacılar, araçları uzaktan kilitlemek ve kilitlerini açmak, motoru çalıştırmak ve kapatmak ve aracın farlarını ve kornasını etkinleştirmek için komutlar vermek üzere herkesin bu güvenlik açıklarından nasıl yararlanabileceğini göstermişti. Bazı kusurlar, bir saldırganın, bir aracın sahibinin hesabını uzaktan ele geçirmesine ve onu kendi aracını yönetmekten alıkoymasına izin verirken, diğerleri, aracın içinden canlı görüntüleri izleme yeteneği ile aracın kamerasına uzaktan erişim sağladı. Saldırılardan bazıları, saldırganın araç kimlik numarasından biraz daha fazlasına, hatta bazen yalnızca sahibinin e-posta adresine sahip olmasını gerektiriyordu.
Otomotiv API Protokolleriyle İlgili Bir Sorun
Önceki kusurların çoğunda olduğu gibi, Curry ve araştırmacı arkadaşlarının keşfettiği yeni sorun, Kia otomobillerinde internetten araca komutları mümkün kılan uygulama programlama arayüzü (API) protokolleriyle ilgiliydi.
Araştırmacılar, bir Kia bayi hesabı açmanın ve hesapta kimlik doğrulamanın nispeten kolay olduğunu buldu. Daha sonra oluşturulan erişim jetonunu, araç ve hesap arama, sahip kaydı ve diğer bazı işlevler için bayiler tarafından kullanılmak üzere ayrılmış API’leri çağırmak için kullanabilirler.
Biraz araştırdıktan sonra araştırmacılar, bayi API’lerine erişimlerini kullanarak bir aracın plaka bilgilerini girebileceklerini ve temel araç işlevlerini kontrol etmelerine olanak tanıyan verileri alabileceklerini keşfettiler. Bunlar arasında kontağı açıp kapama, araçları uzaktan kilitleme ve kilitlerini açma, farları ve kornayı etkinleştirme ve tam coğrafi konumunu belirleme gibi işlevler yer alıyordu.
Ayrıca hesap sahibinin kişisel bilgilerini (PII) alıp kendilerini sessizce birincil hesap sahibi olarak kaydedebildiler. Bu, normalde yalnızca sahibin kullanabileceği işlevlerin kontrolüne sahip oldukları anlamına geliyordu. Sorunlar, 2024 ve 2025’ten 2013’e kadar çeşitli Kia model yıllarını etkiledi. Araştırmacılar, eski araçlarla ilgili olarak herkesin bir Kia’nın araç plaka bilgisini nasıl girebileceğini gösteren bir kavram kanıtlama aracı geliştirdi. Araçta uzaktan komutları 30 saniye içinde yürütebilirsiniz.
API güvenlik firması Wallarm’ın CEO’su Ivan Novikov, “Son keşif, bağlantılı araçlarda kullanılan gRPC, MQTT ve REST gibi karmaşık API protokollerinin yarattığı karmaşık zorlukların altını çiziyor” diyor. “Otomobil üreticileri, daha güçlü kimlik doğrulama yöntemleri uygulayarak ve yetkisiz erişime karşı koruma sağlayacak iletişim kanallarını güvence altına alarak siber güvenlik önlemlerini geliştirmeye öncelik vermeli.”
Synopsys Software Integrity Group’un siber güvenlik stratejisi ve çözümleri kıdemli yöneticisi Akhil Mittal, yeni keşfin bağlantılı araçlardaki en büyük güvenlik açıklarının genellikle dış dünyayla iletişim kuran sistemlerle ilgili olduğunu ortaya çıkardığını söylüyor. Her zaman bağlı olmayı işaret ediyor araç telematik sistemleri böyle bir bileşenin bir örneği olarak.
Mittal, “Bilgi-eğlence sistemleri, akıllı telefonlara, uygulamalara ve diğer hizmetlere bağlanarak bilgisayar korsanlarının otomobilin dahili ağına daha fazla giriş noktası oluşturması nedeniyle başka bir endişe kaynağıdır” diyor. “Son Kia saldırısı, API’lerin ve bulut hizmetlerinin nasıl zayıf noktalar olabileceğini gerçekten ortaya koyuyor; kritik işlevleri kontrol eden API’ler düzgün bir şekilde güvence altına alınmazsa, saldırganlar için kolay hedefler haline gelirler.”
Arabaların Siber Güvensizliğinin Sorunlu Bir Modeli
Kia’nın hacklenmesiyle ilgili haberler, bağlantılı araçlarla ilgili endişelerin artmasına neden oluyor – sadece onların güvenliğiyle ilgili değil. Bu yılın başlarında iki üst düzey ABD milletvekili General Motors, Honda ve Hyundai’yi eleştirdi Bağlı araçtan araç sahipleri ve hareketleri hakkında kapsamlı veri toplamak için. İki yasa koyucu, Senatör Ron Wyden (D-Ore.) ve Edward Markey (D-Mass.), üç otomobil üreticisinin veri toplamasını, otomobil üreticisi uygulamalarının daha fazla gözetim ve inceleme ihtiyacını vurgulayan sektör çapında semptomatik bir sorun olarak nitelendirdi. .
Yazılım güvenliği firması ForAllSecure’un CEO’su David Brumley, “Otomotiv satıcıları güvenlik konusunda sorumsuz olduklarını defalarca kanıtladılar ve harekete geçmeden önce daha ne kadar şey göreceğimizi merak ediyorum” diyor. “Dün ortalama bir sürücü endişeleniyordu [the theft of their] anahtarlık. Bugün bayilerinin veya üreticilerinin korumasız bir API’ye sahip olup olmadığı konusunda endişelenmeleri gerekiyor. nerede [National Transportation Safety Board] bu konuda?”
Kia Motors, Dark Reading’in yorum talebine hemen yanıt vermedi.
