• Basit Bir Web Sitesi Hatası Sayesinde... Basit Bir Web Sitesi Hatası Sayesinde Milyonlarca Araç Hacklenebilir ve Takip Edilebilir (wired.com)
    by durum_leyla     1 yıl, 1 ay önce        0 Yorum     yaşam    


    • Basit Bir Web Sitesi Hatası Sayesinde Milyonlarca Araç Hacklenebilir ve Takip Edilebilir
    Geçmişte güvenlik araştırmacıları araçların internet bağlantılı sistemlerini ele geçirme yolları bulduklarında, kavram kanıtları gösterileri neyse ki araba hacklemenin zor olduğunu gösteriyordu. 2010 yılında bir Chevrolet Impala'yı veya 2015 yılında bir Jeep'i uzaktan ele geçiren hackerlar tarafından kullanılanlara benzer istismarlar geliştirmek yıllarca süren bir çalışma gerektiriyordu ve ustaca numaralar gerektiriyordu: Arabaların telematik birimlerindeki belirsiz kodu tersine mühendislik yapmak, radyo bağlantıları üzerinden çalınan ses tonları aracılığıyla bu sistemlere kötü amaçlı yazılım teslim etmek veya hatta kötü amaçlı yazılım yüklü bir müzik dosyası içeren bir diski arabanın CD sürücüsüne koymak.

    Bu yaz, küçük bir hacker grubu, milyonlarca aracı hacklemek ve izlemek için çok daha kolay bir teknik gösterdi - bir web sitesinde basit bir hata bulmak kadar kolay.

    Bugün, bir grup bağımsız güvenlik araştırmacısı, otomobil üreticisi Kia tarafından işletilen bir web portalında, araştırmacıların çoğu modern Kia aracının - yolda milyonlarca aracı temsil eden düzinelerce model - internet bağlantılı özelliklerinin kontrolünü arabanın sahibinin akıllı telefonundan hackerların kendi telefonuna veya bilgisayarına yeniden atamasını sağlayan bir kusur bulduklarını açıkladı. Bu güvenlik açığını kullanarak ve hedef arabalara komut göndermek için kendi özel uygulamalarını oluşturarak, neredeyse her internet bağlantılı Kia aracının plakasını tarayabildiler ve saniyeler içinde bu arabanın konumunu izleme, arabanın kilidini açma, kornasını çalmaya başlama veya isteğe bağlı olarak ateşlemeyi başlatma yeteneğini elde ettiler.

    Araştırmacılar Haziran ayında Kia'yı sorun hakkında uyardıktan sonra, Kia web portalındaki güvenlik açığını gidermiş görünüyor, ancak o zaman WIRED'a, grubun bulgularını hala araştırdığını ve o zamandan beri WIRED'ın e-postalarına cevap vermediğini söyledi. Ancak araştırmacılara göre Kia'nın yaması, otomotiv endüstrisinin web tabanlı güvenlik sorunlarının sonu değil. Kia'ları hacklemek için kullandıkları web hatası, aslında Hyundai'ye ait şirkete bildirdikleri ikinci türünden; geçen yıl Kia'ların dijital sistemlerini ele geçirmek için benzer bir teknik bulmuşlardı. Ve bu hatalar, son iki yıldır Acura, Genesis, Honda, Hyundai, Infiniti, Toyota ve daha fazlası tarafından satılan arabaları etkileyen, benzer web tabanlı güvenlik açıkları arasında sadece iki tanesi.

    "Bu konuyu ne kadar çok araştırdıkça, araçların web güvenliğinin çok kötü olduğu daha da belirgin hale geldi" diyor, hem son Kia güvenlik açığını bulan hem de geçen yıl Ocak ayında açıklanan önceki web tabanlı araç güvenlik sorunları koleksiyonundan sorumlu daha büyük bir grupla çalışan araştırmacılardan biri olan Neiko "specters" Rivera.

    "Tekrar tekrar, bu tek seferlik sorunlar ortaya çıkmaya devam ediyor" diyor, Web3 firması Yuga Labs için güvenlik mühendisi olarak çalışan, ancak bu araştırmayı bağımsız olarak yaptığını söyleyen araç hackleme grubunun bir başka üyesi olan Sam Curry. "İki yıl oldu, bu sorunu çözmek için çok iyi çalışmalar yapıldı, ancak yine de gerçekten bozuk gibi görünüyor."

    Bir Plaka Okuyun, Bir Aracı Hackleyin

    Araştırma grubu Kia'yı son güvenlik açığından haberdar etmeden önce, web tabanlı tekniklerini birkaç Kia'da - kiralıklar, arkadaşların arabaları, hatta bayi lotlarındaki arabalar - test ettiler ve her durumda işe yaradığını buldular. Ayrıca tekniği WIRED'a gösterdiler ve yukarıdaki videoda görüldüğü gibi, Denver, Colorado'daki bir park yerinde sadece birkaç dakika önce kendilerine tanıtılan bir güvenlik araştırmacısının 2020 Kia Soul'unda gösterdiler.

    Grubun web tabanlı Kia hackleme tekniği, bir hacker'a direksiyon veya fren gibi sürüş sistemlerine erişim sağlamıyor ve ayrıca bir arabanın ateşlemesi çalıştırılsa bile arabanın kaçırılmasını önleyen sözde immobilizer'ı da aşmıyor. Ancak, araba hırsızları arasında popüler olan immobilizer'ı alt eden tekniklerle birleştirilebilir veya immobilizer'ı olmayan daha düşük sınıf arabaları çalmak için kullanılabilir - bazı Kia'lar dahil.

    Bir arabanın doğrudan çalınmasına izin vermese bile, web hatası, bir arabanın içeriğinin çalınması, sürücülerin ve yolcuların taciz edilmesi ve diğer gizlilik ve güvenlik endişeleri için önemli fırsatlar yaratabilirdi.

    "Birisi trafikte sizi kestiyse, plakalarını tarayabilir ve istediğiniz zaman nerede olduklarını bilebilir ve arabalarına girebilirsiniz" diyor Curry. "Bunu Kia'nın dikkatini çekmeseydik, birinin plakasını sorgulayabilen herkes onları esasen takip edebilirdi." 360 derecelik bir kamera ile birlikte gelen Kia'lar için, bu kamera da hacker'ların erişimine açıktı. Curry, arabaların kendilerindeki bağlantılı özelliklerin ele geçirilmesine izin vermenin ötesinde, web portalı hatasının hacker'ların Kia müşterileri hakkında geniş bir yelpazede kişisel bilgiyi sorgulamasına da olanak tanıdığını söylüyor - isimler, e-posta adresleri, telefon numaraları, ev adresleri ve hatta bazı durumlarda geçmiş sürüş rotaları - potansiyel olarak büyük bir veri sızıntısı.

    Grubun bulduğu Kia hackleme tekniği, müşteriler ve bayiler için Kia'nın web portalının arka ucunda nispeten basit bir hatayı kullanarak çalışıyor, bu da bağlantılı araç özelliklerine erişimi kurmak ve yönetmek için kullanılıyor. Araştırmacılar doğrudan bu web sitesinin API'sine - temel verileriyle etkileşim kurmasını sağlayan arabirim - komut gönderdiklerinde, Kia bayisinin ayrıcalıklarına erişmelerini önleyen hiçbir şey olmadığını söylüyorlar, örneğin oluşturdukları herhangi bir müşteri hesabına araçların özelliklerinin kontrolünü atama veya yeniden atama gibi. "Gerçekten basit. Kullanıcının bir bayi olup olmadığını kontrol etmediler" diyor Rivera. "Ve bu büyük bir sorun."

    Kia'nın web portalı, araç tanımlama numarasına (VIN) göre araç aramalarına izin verdi. Ancak hackerlar, PlateToVin.com web sitesini kullanarak bir arabanın plaka numarasını aldıktan sonra hızlı bir şekilde aracın VIN'ini bulabileceklerini keşfettiler.

    Rivera ekliyor, daha geniş anlamda, sistemi kullanan herhangi bir bayinin, hangi araçların hangi belirli hesapla bağlantılı olduğuna dair şaşırtıcı miktarda kontrole sahip olduğu güvenilen gibi görünüyor. "Bayilerin, lotlarına girmeyen araçlar üzerinde bile çok fazla yetkisi var" diyor Rivera.

    Bir Düzine Otomobil Üreticisinin Web Sitesi, Milyonlarca Hacklenebilir Araç

    Hackleme tekniklerini geliştirmek için iki başka araştırmacıyla çalışan Curry ve Rivera, bulgularını Haziran ayında WIRED'a gösterdikten kısa bir süre sonra Kia'ya bildirdi ve şirket, WIRED'dan gelen bir soruşturmaya, bulgularını araştırdığını belirterek yanıt verdi. "Bu konuyu çok ciddiye alıyoruz ve güvenlik araştırmacılarıyla iş birliğimize değer veriyoruz" diye yazdı bir sözcü.

    Araştırmacılar sorunu bildirdikten kısa bir süre sonra, Kia web portalı API'sinde, tekniklerini engellediği görünen bir değişiklik yaptı, diyor araştırmacılar. Daha sonra, Ağustos ayında Kia, araştırmacılara bulgularını doğruladıklarını ancak soruna kalıcı bir çözüm uygulamak için hala çalıştıklarını söyledi. Kia, o zamandan beri araştırmacıları güncellemedi veya WIRED'ın sorularına yanıt vermedi. Ancak, araştırmacıların bildirdiği güvenlik sorunlarını çözmeleri için şirketlere verilen standart 90 günlük pencereden sonra, hackerlar bulgularını kamuya açıklamak için karar verdiler - ancak Kia hackleme kavram kanıtı uygulamalarını yayınlamadılar ve bunu yapmayı da düşünmüyorlar.

    Kia hackleme araştırma grubu, 2022 sonlarında otomobil üreticilerinin web sitelerini ve API'lerini güvenlik açıkları açısından araştırma fikri etrafında toplanmaya başladı. Birkaç tanesi, bir üniversite kampüsünde bir arkadaşlarının evinde kalıyordu ve bir mobil scooter şirketinin uygulamasıyla oynarken, yanlışlıkla kampüsteki şirketin tüm scooter'larının 15 dakika boyunca kornaları çalmasını ve ışıkları yanıp sönmesini sağladılar. O noktada, grup "scooter'lardan daha önemli olan daha fazla şeyin kornasını çalmak için daha fazla yol denemekle çok ilgilendi", Curry yazacaktı - scooter'lardan daha önemli araçlar dahil. Kısa süre sonra, Curry, uzun süredir araç hacklemeyle ilgilenen ve daha önce otomobil üreticisi Rivian'da çalışan Rivera'nın, araç telematiğinde zaten web güvenlik açıklarına baktığını keşfetti.

    Ocak 2023'te, Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce ve Ferrari'yi etkileyen web güvenlik açıklarının devasa bir koleksiyonu olan çalışmalarının ilk sonuçlarını yayınladılar - hepsini otomobil üreticilerine bildirdiler. Grubun bulduğu web hataları, en azından bu şirketlerin yarım düzinesi için, en son Kia hack'lerinde olduğu gibi, araçların bağlantılı özelliklerinin en azından bir miktar kontrolünü sağlıyordu, diye yazdılar. Diğerleri, yetkisiz erişime izin verdiğini söylüyor, verilerine veya şirketlerin iç uygulamalarına. Yine de diğerleri, acil durum araçları için filo yönetim yazılımlarını hedef alıyordu ve hatta bu araçların çalışmasını bile engelleyebiliyordu, diye düşünüyorlar - ancak bu potansiyel olarak tehlikeli numarayı güvenli bir şekilde test etme olanaklarına sahip değillerdi.

    Curry, bu yıl Haziran ayında, Toyota'nın web portalında hala benzer bir hata olduğunu ve çevrimiçi bulduğu sızdırılmış bir bayi kimlik bilgisiyle birleştiğinde, Toyota ve Lexus araçlarının izleme, kilit açma, kornası çalmaya başlama ve ateşleme gibi özelliklerinin uzaktan kontrolüne izin vereceğini keşfettiğini söylüyor. Bu güvenlik açığını Toyota'ya bildirdi ve WIRED'a, bir hedef Toyota'nın bağlantılı özelliklerinin kontrolünü web üzerinden kendine yeniden atayabildiğini gösteren bir onay e-postasını gösterdi. Ancak Curry, bu Toyota hackleme tekniğinin bir videosunu Toyota'ya bildirmeden önce çekmedi ve şirket, sızdırılan hatayı hızla yamalamaya başladı, hatta istismarını önlemek için web portalını geçici olarak devre dışı bıraktı.

    "Bu soruşturma sonucunda Toyota, tehlikeye atılan kimlik bilgilerini hemen devre dışı bıraktı ve portalın güvenlik iyileştirmelerini hızlandırıyor, ayrıca iyileştirmeler tamamlanana kadar portalı geçici olarak devre dışı bırakıyor" diye yazdı bir Toyota sözcüsü WIRED'a Haziran ayında.

    Daha Akıllı Özellikler, Daha Aptal Hatalar

    Araçların uzaktan kontrolünü sağlayan otomobil üreticilerinin web sitelerindeki olağanüstü sayıda güvenlik açığı, şirketlerin özellikle gençlerin, akıllı telefon özellikli özellikler sunarak tüketicilere hitap etme çabalarının doğrudan bir sonucudur, diyor, 2010 yılında bir arabanın direksiyonunu ve frenlerini internet üzerinden hackleyen ilk ekip olan UC San Diego'da bilgisayar bilimi profesörü Stefan Savage. "Bu kullanıcı özelliklerini telefona bağladığınızda, bu bulut bağlantılı şey, daha önce endişelenmenize gerek olmayan bu saldırı yüzeyini yaratıyorsunuz" diyor Savage.

    Yine de, o bile, bu özellikleri yöneten tüm web tabanlı kodun güvensizliğinden şaşırdığını söylüyor. "İstismar edilmesinin bu kadar kolay olması biraz hayal kırıklığı yaratıyor" diyor.

    Rivera, otomotiv siber güvenliğinde çalıştığı süre boyunca, otomobil şirketlerinin, web güvenliğinden ziyade, "gömülü" cihazlara - araçlar gibi geleneksel olmayan bilgi işlem ortamlarındaki dijital bileşenlere - daha fazla odaklandığını gözlemlediğini söylüyor, kısmen çünkü bu gömülü cihazları güncellemek çok daha zor olabilir ve geri çağırma yapabilir. "Otomotiv endüstrisinde, gömülü güvenlik ile web güvenliği arasında açık bir boşluk olduğu, başladığımdan beri açıktı" diyor Rivera. "Bu iki şey çok sık bir araya geliyor, ancak insanların sadece birinde veya diğerinde deneyimi var."

    UCSD'nin Savage, Kia hackleme araştırmacılarının çalışmasının bu odak noktasını değiştirmeye yardımcı olabileceğini umuyor. 2015 Jeep ele geçirme ve 2010 Impala hack'i gibi araçların gömülü sistemlerini etkileyen ilk dikkat çekici hackleme deneylerinin çoğu, otomobil üreticilerini gömülü siber güvenliği daha iyi önceliklendirmeleri konusunda ikna etti, diyor. Şimdi otomobil şirketlerinin web güvenliğine de odaklanmaları gerekiyor - hatta, süreçlerine fedakarlıklar veya değişiklikler yapılması gerekiyorsa bile, diyor.

    "Nasıl karar verirsiniz, 'Web kodunu incelemediğimiz için arabayı altı ay boyunca göndermeyeceğiz?' Bu zor bir satış" diyor. "Bu tür bir olayın insanların bu karara daha kapsamlı bakmalarına neden olacağını düşünmek istiyorum."
    Geçmişte güvenlik araştırmacıları araçların internet bağlantılı sistemlerini ele geçirme yolları bulduklarında, kavram kanıtları gösterileri neyse ki araba hacklemenin zor olduğunu gösteriyordu. 2010 yılında bir Chevrolet Impala'yı veya 2015 yılında bir Jeep'i uzaktan ele geçiren hackerlar tarafından kullanılanlara benzer istismarlar geliştirmek yıllarca süren bir çalışma gerektiriyordu ve ustaca numaralar gerektiriyordu: Arabaların telematik birimlerindeki belirsiz kodu tersine mühendislik yapmak, radyo bağlantıları üzerinden çalınan ses tonları aracılığıyla bu sistemlere kötü amaçlı yazılım teslim etmek veya hatta kötü amaçlı yazılım yüklü bir müzik dosyası içeren bir diski arabanın CD sürücüsüne koymak.

    Bu yaz, küçük bir hacker grubu, milyonlarca aracı hacklemek ve izlemek için çok daha kolay bir teknik gösterdi - bir web sitesinde basit bir hata bulmak kadar kolay.

    Bugün, bir grup bağımsız güvenlik araştırmacısı, otomobil üreticisi Kia tarafından işletilen bir web portalında, araştırmacıların çoğu modern Kia aracının - yolda milyonlarca aracı temsil eden düzinelerce model - internet bağlantılı özelliklerinin kontrolünü arabanın sahibinin akıllı telefonundan hackerların kendi telefonuna veya bilgisayarına yeniden atamasını sağlayan bir kusur bulduklarını açıkladı. Bu güvenlik açığını kullanarak ve hedef arabalara komut göndermek için kendi özel uygulamalarını oluşturarak, neredeyse her internet bağlantılı Kia aracının plakasını tarayabildiler ve saniyeler içinde bu arabanın konumunu izleme, arabanın kilidini açma, kornasını çalmaya başlama veya isteğe bağlı olarak ateşlemeyi başlatma yeteneğini elde ettiler.

    Araştırmacılar Haziran ayında Kia'yı sorun hakkında uyardıktan sonra, Kia web portalındaki güvenlik açığını gidermiş görünüyor, ancak o zaman WIRED'a, grubun bulgularını hala araştırdığını ve o zamandan beri WIRED'ın e-postalarına cevap vermediğini söyledi. Ancak araştırmacılara göre Kia'nın yaması, otomotiv endüstrisinin web tabanlı güvenlik sorunlarının sonu değil. Kia'ları hacklemek için kullandıkları web hatası, aslında Hyundai'ye ait şirkete bildirdikleri ikinci türünden; geçen yıl Kia'ların dijital sistemlerini ele geçirmek için benzer bir teknik bulmuşlardı. Ve bu hatalar, son iki yıldır Acura, Genesis, Honda, Hyundai, Infiniti, Toyota ve daha fazlası tarafından satılan arabaları etkileyen, benzer web tabanlı güvenlik açıkları arasında sadece iki tanesi.

    "Bu konuyu ne kadar çok araştırdıkça, araçların web güvenliğinin çok kötü olduğu daha da belirgin hale geldi" diyor, hem son Kia güvenlik açığını bulan hem de geçen yıl Ocak ayında açıklanan önceki web tabanlı araç güvenlik sorunları koleksiyonundan sorumlu daha büyük bir grupla çalışan araştırmacılardan biri olan Neiko "specters" Rivera.

    "Tekrar tekrar, bu tek seferlik sorunlar ortaya çıkmaya devam ediyor" diyor, Web3 firması Yuga Labs için güvenlik mühendisi olarak çalışan, ancak bu araştırmayı bağımsız olarak yaptığını söyleyen araç hackleme grubunun bir başka üyesi olan Sam Curry. "İki yıl oldu, bu sorunu çözmek için çok iyi çalışmalar yapıldı, ancak yine de gerçekten bozuk gibi görünüyor."

    Bir Plaka Okuyun, Bir Aracı Hackleyin

    Araştırma grubu Kia'yı son güvenlik açığından haberdar etmeden önce, web tabanlı tekniklerini birkaç Kia'da - kiralıklar, arkadaşların arabaları, hatta bayi lotlarındaki arabalar - test ettiler ve her durumda işe yaradığını buldular. Ayrıca tekniği WIRED'a gösterdiler ve yukarıdaki videoda görüldüğü gibi, Denver, Colorado'daki bir park yerinde sadece birkaç dakika önce kendilerine tanıtılan bir güvenlik araştırmacısının 2020 Kia Soul'unda gösterdiler.

    Grubun web tabanlı Kia hackleme tekniği, bir hacker'a direksiyon veya fren gibi sürüş sistemlerine erişim sağlamıyor ve ayrıca bir arabanın ateşlemesi çalıştırılsa bile arabanın kaçırılmasını önleyen sözde immobilizer'ı da aşmıyor. Ancak, araba hırsızları arasında popüler olan immobilizer'ı alt eden tekniklerle birleştirilebilir veya immobilizer'ı olmayan daha düşük sınıf arabaları çalmak için kullanılabilir - bazı Kia'lar dahil.

    Bir arabanın doğrudan çalınmasına izin vermese bile, web hatası, bir arabanın içeriğinin çalınması, sürücülerin ve yolcuların taciz edilmesi ve diğer gizlilik ve güvenlik endişeleri için önemli fırsatlar yaratabilirdi.

    "Birisi trafikte sizi kestiyse, plakalarını tarayabilir ve istediğiniz zaman nerede olduklarını bilebilir ve arabalarına girebilirsiniz" diyor Curry. "Bunu Kia'nın dikkatini çekmeseydik, birinin plakasını sorgulayabilen herkes onları esasen takip edebilirdi." 360 derecelik bir kamera ile birlikte gelen Kia'lar için, bu kamera da hacker'ların erişimine açıktı. Curry, arabaların kendilerindeki bağlantılı özelliklerin ele geçirilmesine izin vermenin ötesinde, web portalı hatasının hacker'ların Kia müşterileri hakkında geniş bir yelpazede kişisel bilgiyi sorgulamasına da olanak tanıdığını söylüyor - isimler, e-posta adresleri, telefon numaraları, ev adresleri ve hatta bazı durumlarda geçmiş sürüş rotaları - potansiyel olarak büyük bir veri sızıntısı.

    Grubun bulduğu Kia hackleme tekniği, müşteriler ve bayiler için Kia'nın web portalının arka ucunda nispeten basit bir hatayı kullanarak çalışıyor, bu da bağlantılı araç özelliklerine erişimi kurmak ve yönetmek için kullanılıyor. Araştırmacılar doğrudan bu web sitesinin API'sine - temel verileriyle etkileşim kurmasını sağlayan arabirim - komut gönderdiklerinde, Kia bayisinin ayrıcalıklarına erişmelerini önleyen hiçbir şey olmadığını söylüyorlar, örneğin oluşturdukları herhangi bir müşteri hesabına araçların özelliklerinin kontrolünü atama veya yeniden atama gibi. "Gerçekten basit. Kullanıcının bir bayi olup olmadığını kontrol etmediler" diyor Rivera. "Ve bu büyük bir sorun."

    Kia'nın web portalı, araç tanımlama numarasına (VIN) göre araç aramalarına izin verdi. Ancak hackerlar, PlateToVin.com web sitesini kullanarak bir arabanın plaka numarasını aldıktan sonra hızlı bir şekilde aracın VIN'ini bulabileceklerini keşfettiler.

    Rivera ekliyor, daha geniş anlamda, sistemi kullanan herhangi bir bayinin, hangi araçların hangi belirli hesapla bağlantılı olduğuna dair şaşırtıcı miktarda kontrole sahip olduğu güvenilen gibi görünüyor. "Bayilerin, lotlarına girmeyen araçlar üzerinde bile çok fazla yetkisi var" diyor Rivera.

    Bir Düzine Otomobil Üreticisinin Web Sitesi, Milyonlarca Hacklenebilir Araç

    Hackleme tekniklerini geliştirmek için iki başka araştırmacıyla çalışan Curry ve Rivera, bulgularını Haziran ayında WIRED'a gösterdikten kısa bir süre sonra Kia'ya bildirdi ve şirket, WIRED'dan gelen bir soruşturmaya, bulgularını araştırdığını belirterek yanıt verdi. "Bu konuyu çok ciddiye alıyoruz ve güvenlik araştırmacılarıyla iş birliğimize değer veriyoruz" diye yazdı bir sözcü.

    Araştırmacılar sorunu bildirdikten kısa bir süre sonra, Kia web portalı API'sinde, tekniklerini engellediği görünen bir değişiklik yaptı, diyor araştırmacılar. Daha sonra, Ağustos ayında Kia, araştırmacılara bulgularını doğruladıklarını ancak soruna kalıcı bir çözüm uygulamak için hala çalıştıklarını söyledi. Kia, o zamandan beri araştırmacıları güncellemedi veya WIRED'ın sorularına yanıt vermedi. Ancak, araştırmacıların bildirdiği güvenlik sorunlarını çözmeleri için şirketlere verilen standart 90 günlük pencereden sonra, hackerlar bulgularını kamuya açıklamak için karar verdiler - ancak Kia hackleme kavram kanıtı uygulamalarını yayınlamadılar ve bunu yapmayı da düşünmüyorlar.

    Kia hackleme araştırma grubu, 2022 sonlarında otomobil üreticilerinin web sitelerini ve API'lerini güvenlik açıkları açısından araştırma fikri etrafında toplanmaya başladı. Birkaç tanesi, bir üniversite kampüsünde bir arkadaşlarının evinde kalıyordu ve bir mobil scooter şirketinin uygulamasıyla oynarken, yanlışlıkla kampüsteki şirketin tüm scooter'larının 15 dakika boyunca kornaları çalmasını ve ışıkları yanıp sönmesini sağladılar. O noktada, grup "scooter'lardan daha önemli olan daha fazla şeyin kornasını çalmak için daha fazla yol denemekle çok ilgilendi", Curry yazacaktı - scooter'lardan daha önemli araçlar dahil. Kısa süre sonra, Curry, uzun süredir araç hacklemeyle ilgilenen ve daha önce otomobil üreticisi Rivian'da çalışan Rivera'nın, araç telematiğinde zaten web güvenlik açıklarına baktığını keşfetti.

    Ocak 2023'te, Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce ve Ferrari'yi etkileyen web güvenlik açıklarının devasa bir koleksiyonu olan çalışmalarının ilk sonuçlarını yayınladılar - hepsini otomobil üreticilerine bildirdiler. Grubun bulduğu web hataları, en azından bu şirketlerin yarım düzinesi için, en son Kia hack'lerinde olduğu gibi, araçların bağlantılı özelliklerinin en azından bir miktar kontrolünü sağlıyordu, diye yazdılar. Diğerleri, yetkisiz erişime izin verdiğini söylüyor, verilerine veya şirketlerin iç uygulamalarına. Yine de diğerleri, acil durum araçları için filo yönetim yazılımlarını hedef alıyordu ve hatta bu araçların çalışmasını bile engelleyebiliyordu, diye düşünüyorlar - ancak bu potansiyel olarak tehlikeli numarayı güvenli bir şekilde test etme olanaklarına sahip değillerdi.

    Curry, bu yıl Haziran ayında, Toyota'nın web portalında hala benzer bir hata olduğunu ve çevrimiçi bulduğu sızdırılmış bir bayi kimlik bilgisiyle birleştiğinde, Toyota ve Lexus araçlarının izleme, kilit açma, kornası çalmaya başlama ve ateşleme gibi özelliklerinin uzaktan kontrolüne izin vereceğini keşfettiğini söylüyor. Bu güvenlik açığını Toyota'ya bildirdi ve WIRED'a, bir hedef Toyota'nın bağlantılı özelliklerinin kontrolünü web üzerinden kendine yeniden atayabildiğini gösteren bir onay e-postasını gösterdi. Ancak Curry, bu Toyota hackleme tekniğinin bir videosunu Toyota'ya bildirmeden önce çekmedi ve şirket, sızdırılan hatayı hızla yamalamaya başladı, hatta istismarını önlemek için web portalını geçici olarak devre dışı bıraktı.

    "Bu soruşturma sonucunda Toyota, tehlikeye atılan kimlik bilgilerini hemen devre dışı bıraktı ve portalın güvenlik iyileştirmelerini hızlandırıyor, ayrıca iyileştirmeler tamamlanana kadar portalı geçici olarak devre dışı bırakıyor" diye yazdı bir Toyota sözcüsü WIRED'a Haziran ayında.

    Daha Akıllı Özellikler, Daha Aptal Hatalar

    Araçların uzaktan kontrolünü sağlayan otomobil üreticilerinin web sitelerindeki olağanüstü sayıda güvenlik açığı, şirketlerin özellikle gençlerin, akıllı telefon özellikli özellikler sunarak tüketicilere hitap etme çabalarının doğrudan bir sonucudur, diyor, 2010 yılında bir arabanın direksiyonunu ve frenlerini internet üzerinden hackleyen ilk ekip olan UC San Diego'da bilgisayar bilimi profesörü Stefan Savage. "Bu kullanıcı özelliklerini telefona bağladığınızda, bu bulut bağlantılı şey, daha önce endişelenmenize gerek olmayan bu saldırı yüzeyini yaratıyorsunuz" diyor Savage.

    Yine de, o bile, bu özellikleri yöneten tüm web tabanlı kodun güvensizliğinden şaşırdığını söylüyor. "İstismar edilmesinin bu kadar kolay olması biraz hayal kırıklığı yaratıyor" diyor.

    Rivera, otomotiv siber güvenliğinde çalıştığı süre boyunca, otomobil şirketlerinin, web güvenliğinden ziyade, "gömülü" cihazlara - araçlar gibi geleneksel olmayan bilgi işlem ortamlarındaki dijital bileşenlere - daha fazla odaklandığını gözlemlediğini söylüyor, kısmen çünkü bu gömülü cihazları güncellemek çok daha zor olabilir ve geri çağırma yapabilir. "Otomotiv endüstrisinde, gömülü güvenlik ile web güvenliği arasında açık bir boşluk olduğu, başladığımdan beri açıktı" diyor Rivera. "Bu iki şey çok sık bir araya geliyor, ancak insanların sadece birinde veya diğerinde deneyimi var."

    UCSD'nin Savage, Kia hackleme araştırmacılarının çalışmasının bu odak noktasını değiştirmeye yardımcı olabileceğini umuyor. 2015 Jeep ele geçirme ve 2010 Impala hack'i gibi araçların gömülü sistemlerini etkileyen ilk dikkat çekici hackleme deneylerinin çoğu, otomobil üreticilerini gömülü siber güvenliği daha iyi önceliklendirmeleri konusunda ikna etti, diyor. Şimdi otomobil şirketlerinin web güvenliğine de odaklanmaları gerekiyor - hatta, süreçlerine fedakarlıklar veya değişiklikler yapılması gerekiyorsa bile, diyor.

    "Nasıl karar verirsiniz, 'Web kodunu incelemediğimiz için arabayı altı ay boyunca göndermeyeceğiz?' Bu zor bir satış" diyor. "Bu tür bir olayın insanların bu karara daha kapsamlı bakmalarına neden olacağını düşünmek istiyorum."


    anahtar kelimeler: millions, hacked, tracked, simple, website, bug, vehicles, web, kia, security, researchers, cars, car, features, portal, group, technique, hacking, toyota, rivera, curry, hackers, control, hack, wired, web-based, companies, systems, flaw, vulnerability, license, plate, findings, kias, reported

    Kaydol ya da oturum aç

    Yorumlar