Bir grup güvenlik araştırmacısı, Güney Koreli otomobil üreticisi Kia’nın web portalında, otomobillerin uzaktan hacklenmesine ve sahiplerinin izlenmesine olanak tanıyan ciddi bir güvenlik açığı keşfetti. Saldırıyı gerçekleştirmek için yalnızca kurbanın araç plakasına ihtiyaç vardı. Şimdi ayrıntılara geçelim.
Aşırı bağlantılı otomobiller
Düşünecek olursanız, son birkaç on yılda arabalar tekerlekli büyük bilgisayarlar haline geldi. Daha az “akıllı” modeller bile birçok elektronik aksama sahip ve sonarlardan kameralara, hareket dedektörlerinden GPS’e kadar bir dizi sensörle donatılmış durumda.
Üstelik sadece bu kadar da değil; son yıllarda bu bilgisayarlar, beraberinde getirdiği tüm risklerle birlikte sürekli olarak internete bağlanıyor. Kısa bir süre önce, günümüz otomobillerinin, sahipleri hakkında nasıl büyük miktarda veri topladığını ve bunları üreticiye nasıl gönderdiğini anlatmıştık. Dahası, üreticiler toplanan bu verileri diğer şirketlere, özellikle de sigortacılara satıyorlar.
Ancak bu konunun başka bir yönü daha var: Sürekli internete bağlı olmak, otomobilin kendisinde ya da iletişim kurduğu bulut sisteminde güvenlik açıkları olması durumunda, birilerinin bu açıklardan yararlanarak sistemi hackleyebileceği ve üreticinin haberi bile olmadan otomobilin sahibini takip edebileceği anlamına geliyor.
Hepsine hükmedecek bir bug, hepsini o bulacak
Bu vakada durum, tam olarak budur. Araştırmacılar, Kia sahipleri ve bayileri tarafından kullanılan Kia’nın web portalında bir güvenlik açığı buldular. Portalın, API’yi kullanarak herkesin sadece birkaç basit hareketle araba satıcısı olarak kaydolmasına izin verdiği ortaya çıktı.
Bu, saldırıyı gerçekleştiren kişinin, otomobil satıcılarının bile (en azından araç müşteriye teslim edildikten sonra) sahip olmaması gereken özelliklere erişmesini sağladı. Portal, önce herhangi bir Kia aracı bulmaya ve daha sonra araç sahibinin verilerine (isim, telefon numarası, e-posta adresi ve hatta fiziksel adres) erişmeye izin veriyor ve tüm bu bilgilere ulaşmak sadece aracın şasi numarasıyla mümkün.
Şasi numaralarının tam olarak gizli bilgiler olmadığını belirtmek gerek. Bazı ülkelerde bu numaralar kamuya açık. Örneğin, ABD’de bir arabanın plakasını kullanarak şasi numarasını öğrenebileceğiniz birçok çevrimiçi hizmet var.
Aracı başarılı bir şekilde bulduktan sonra saldırgan, araç sahibinin verilerini kullanarak Kia’nın sistemindeki saldırgan kontrolündeki herhangi bir hesabı araç için yeni bir kullanıcı olarak kaydedebiliyor. Saldırgan buradan, mobil uygulama aracılığıyla normalde aracın gerçek sahibi tarafından kullanılabilen çeşitli işlevlere erişim elde ediyor.
Özellikle ilginç olan, tüm bu özelliklerin sadece o aracı satan bayi tarafından değil, Kia’nın sistemine kayıtlı herhangi bir bayi tarafından kullanılabiliyor olması.
Bir arabayı saniyeler içinde hacklemek
Araştırmacılar daha sonra, sadece plakasını girerek saniyeler içinde herhangi bir Kia aracının kontrolünü ele geçirebilen deneysel bir uygulama geliştirdiler. Uygulama, ilgili hizmet aracılığıyla aracın şasi numarasını otomatik olarak buluyor ve bunu aracı araştırmacıların hesabına kaydetmek için kullanıyor.
Bundan sonra, uygulamadaki tek bir düğmeye basmak saldırganın aracın o anki koordinatlarını tespit etmesine, kapıları kilitlemesine veya açmasına, motoru çalıştırmasına veya durdurmasına ya da korna çalmasına izin veriyor.
Çoğu durumda bu işlevlerin aracı çalmak için yeterli olmayacağını belirtmek önemli. Modern modeller genellikle devre dışı bırakılması için anahtarın fiziksel olarak bulunmasını gerektiren immobilizatörlerle donatılmıştır. Bazı istisnalar tabii ki var ancak genellikle bunlar hırsızların pek ilgisini çekmeyecek ucuz araçlar.
Bununla birlikte, bu güvenlik açığı araç sahibini takip etmek, aracın içinde bırakılan değerli eşyaları çalmak (veya oraya bir şey yerleştirmek) veya araçtan beklenmedik eylemlerle sürücünün hayatına müdahale etmek için rahatlıkla kullanılabilir.
Araştırmacılar sorumlu ifşa protokolünü izleyerek üreticiyi sorun hakkında bilgilendirdiler ve bulgularını, Kia hatayı düzelttikten sonra yayınladılar. Bununla birlikte, daha önce de benzer güvenlik açıkları bulduklarını ve gelecekte daha fazlasını keşfetmeye devam edeceklerinden emin olduklarını belirtiyorlar.