Güvenlik Açıkları ve Araç Hackleme Tehditleri
Son yıllarda artan otomotiv teknolojileri, araçların dijitalleşmesiyle beraber yeni güvenlik riskleri ile de karşı karşıya kalmıştır. Özellikle otomobillerde kullanılan Bluetooth sistemleri, siber saldırganlar için yeni bir hedef haline gelmiştir. Araştırmacılar, OpenSynergy’nin BlueSDK Bluetooth yığınına dair bazı ciddi güvenlik açıkları keşfetti. Bu açıkların, çeşitli araç markalarındaki milyonlarca aracın uzaktan kontrol edilmesine olanak tanıyabileceği belirtiliyor.
PerfektBlue Güvenlik Açığı Nedir?
Keşfedilen bu güvenlik açıkları, “PerfektBlue” adıyla anılmaktadır. PCA Cyber Security tarafından yapılan açıklamada, bu açıkların Mercedes-Benz, Volkswagen ve Skoda gibi üç büyük otomobil üreticisinin araçlarını etkileyebileceği ifade edilmektedir. Bazı durumlarda ise, önceden belirlenmemiş bir başka üretici de bu olumsuz etkilenme listesinde yer alıyor.
PerfektBlue açığı, hafıza bozulmaları ve mantıksal hatalar içeren bir dizi kritik güvenlik açığıdır. Bu açıklar bir araya gelerek uzaktan kod yürütme (RCE) sağlamak için kullanılabilir. Infotainment sistemleri, genellikle araçların kritik kontrollerinden izole edilmiş olarak görülse de, uygulamada her otomobil üreticisinin iç ağ segmentasyonuna bağlı olarak bu ayrım değişebilir. Zayıf izolasyon durumlarında, saldırganların IVI erişimini daha hassas bölgelere sızmak için bir zemin olarak kullanmaları mümkündür.
Uzaktan Saldırı İmkanları
Saldırının başarılı bir şekilde uygulanabilmesi için, kötü niyetli kişinin hedef aracın infotainment sistemiyle Bluetooth üzerinden eşleşme gerçekleştirebilmesi yeterlidir. Bu durum, aslında “tek tıklama” ile gerçekleştirilebilecek bir saldırı anlamına gelir. PCA Cyber Security tarafından yapılan açıklamalara göre, bu eşleştirme süreci, farklı cihazlarda değişiklik gösterebilir. Dolayısıyla, bazı cihazlar sınırlı veya sınırsız eşleştirme isteği alabilirken, diğerleri kullanıcı etkileşimi gerektirebilir veya eşleştirme tamamen devre dışı bırakılmış olabilir.
Belirtilen güvenlik açıkları ise şunlardır:
- CVE-2024-45434 (CVSS puanı: 8.0) – AVRCP hizmetinde Use-After-Free
- CVE-2024-45431 (CVSS puanı: 3.5) – L2CAP kanalının uzaktan CID’sinin uygun şekilde doğrulanmaması
- CVE-2024-45433 (CVSS puanı: 5.7) – RFCOMM’de yanlış işlev sonlandırması
- CVE-2024-45432 (CVSS puanı: 5.7) – RFCOMM’de yanlış parametre ile işlev çağrısı
Bu güvenlik açıklarından yararlanan bir saldırgan, İn-Vehicle Infotainment (IVI) sisteminde kod yürütme elde ederek, GPS koordinatlarını izleyebilir, ses kaydedebilir ve iletişim listelerine erişebilir. Ayrıca kritik yazılım işlevlerinin kontrolünü ele geçirme imkanı bulabilir.
Patcher ve Güvenlik Önlemleri
Sorunan öncelikle sorumlu bildirim ile Nisan 2024’te bildirildi ve bu nedenle Eylül 2024 itibarıyla güvenlik yamaları yayınlandı. PCA Cyber Security, PerfektBlue’nun, bir hedef sistem içinde kritik bir giriş noktası olduğunu ve bu noktadan daha fazla sızmanın mümkün olabileceğini belirtiyor. Araçlarla ilgili olarak, bu IVI sistemine işaret ediyoruz.
Özellikle, Nissan Leaf elektrikli aracında da benzer bir güvenlik açığı bulunmuştu. Saldırganlar, Bluetooth zayıflıklarından yararlanarak aracın dahili ağına sızmayı başarmış ve kritik işlevlere ulaşabilmiştir.
CAN Ağına Dikkat
CAN (Controller Area Network), araçlar ve endüstriyel sistemlerde kullanılan bir iletişim protokolüdür. Saldırgan, bir araca fiziksel erişim sağlarsa, bu protokol üzerinden sızma gerçekleştirebilir. Örneğin küçük bir elektronik cihaz, tamamen sıradan bir nesne içinde gizlenip araca bağlanabilir. Bu durumda, kötü niyetli bir cihaz, yetkili bir kontrol ünitesinin mesajlarını taklit edebilir.
Son zamanlarda, 2016 model bir Renault Clio, CAN verilerini kırarak Mario Kart kontrol cihazına dönüştürülmüştür. Bu tür durumlar, güvenlik açığı bulunan araçların nasıl hedef haline geldiğini ve kötü niyetli saldırganlar için ne denli fırsatlar sunduğunu göstermektedir.
Otomotiv sanayiinde bu tür güvenlik açıkları, hem üreticiler hem de kullanıcılar için büyük bir sorun teşkil etmektedir. Araç güvenliğinin sağlanması ve kullanıcıların korunması açısından alınacak önlemler ve geliştirilmesi gereken güvenlik politikaları büyük önem taşımaktadır.
