Otomobil Üreticisi Portalındaki Bir Açık, Bilgisayar Korsanlarının Arabaların Kilidini Açmasına ve Verileri Çalmasına İzin Verebilir

Büyük bir otomobil üreticisinin çevrimiçi portalındaki bir güvenlik açığı, müşteri verilerini ifşa etti ve bilgisayar korsanlarının araçların kilidini uzaktan açmasına olanak tanımış olabilir. "Güvenlik kabusu" hakkında bilgi edinin ve aracınızı takipten korumak için ipuçları alın.

Büyük bir otomobil üreticisinin çevrimiçi sisteminde, müşteri verilerini ifşa eden ve potansiyel olarak araçlara uzaktan erişime olanak tanıyan yeni bir güvenlik açığı keşfedildi. Güvenlik araştırmacısı Eaton Zveare, bulgularını şirkete bildirerek Şubat 2025'te bir çözüme ulaşmasını sağladı. Zveare, otomobil üreticisinin adını kamuoyuna açıklamasa da, Amerika Birleşik Devletleri'nde 1.000'den fazla bayisi bulunan tanınmış bir marka olduğunu belirtti.

Bilginize, Zveare, IoT cihazlarındaki kritik güvenlik açıklarını tespit etmesiyle tanınıyor. Örneğin, Haziran 2022 tarihli bulguları, uzak bir saldırganın şüphelenmeyen kullanıcı verilerini ele geçirmek için kullanabileceği akıllı bir jakuzi uygulamasındaki bir güvenlik açığını ortaya çıkardı.

Güvenlik açığı, otomobil üreticisinin bayileri tarafından kullanılan bir çevrimiçi portalda bulundu. Zveare, portalın kodunu değiştirerek giriş güvenliğini aşmanın bir yolunu keşfetti ve bu sayede yeni bir "ulusal yönetici" hesabı oluşturdu. Bu sayede binlerce müşterinin kişisel verileri, finansal bilgileri ve araç bilgileri de dahil olmak üzere özel bilgilerine "sınırsız erişim" sağladı.

Bir bilgisayar korsanı, aracın ön camında görülebilen benzersiz kimlik numarasını ( VIN ) kullanarak, sahibinin adını bulabilirdi. Daha da endişe verici olanı, bu açık sayesinde bir bilgisayar korsanının, müşterinin adını veya VIN numarasını bilerek, kapıların kilidini açmak gibi belirli araç işlevlerini uzaktan kontrol edebilmesiydi. Zveare, araçların sürülüp götürülemeyeceğini test etmese de, bu güvenlik açığı hırsızlar tarafından kolayca kullanılabilirdi.

Bayi portalı, müşteri bilgilerinin ötesinde daha fazlasını ifşa ediyordu. Yeni yönetici erişimi sayesinde Zveare, tüm bayilerin finansal verilerini görüntüleyebiliyor ve hatta kiralık veya ikame araçların gerçek zamanlı konumunu takip edebiliyordu. Güvenlik açıklarının, diğer kullanıcıları taklit edip farklı sistemlere erişebilme olanağı nedeniyle "gerçekleşmeyi bekleyen bir güvenlik kabusu" olduğunu belirtti.

Siber güvenlik firması Malwarebytes, bu tür bir güvenlik açığının insanların başkalarını takip etmesini ve takip etmesini kolaylaştırdığını belirterek konuya değindi. Bulgularını Defcon güvenlik konferansında sunan Zveare, hataları ifşa ettikten sonra şirketin bunları düzeltmesinin yaklaşık bir hafta sürdüğünü söyledi.

TechCrunch'a konuşan uzman, asıl sorunun basit kimlik doğrulama kusurlarından kaynaklandığını belirterek, "Eğer bunları yanlış yaparsanız, her şey çöker." dedi.

Arabalarının güvenliği konusunda endişe duyanlar için istenmeyen takipleri önlemeye yardımcı olacak birkaç basit ipucu:

• Arabanıza yerleşik navigasyon uygulaması yerine telefonunuzun navigasyon uygulamasını (örneğin Google Haritalar) kullanın.

• Arabanızın navigasyon sistemine düzenli olarak gittiğiniz yerleri kaydetmeyin.

• En son güvenlik korumalarına sahip olduğunuzdan emin olmak için aracınızın yazılımını güncel tutun.

• Hesabınıza hiçbir bilinmeyen cihazın bağlanmadığından emin olmak için aracınızın uzaktan erişim uygulamalarını kontrol edin.