Evrensel Volkswagen anahtarı, sadece 40$

Bazen araç güvenliği uzmanları sadece bir araç, marka ya da model üstünde çalışırlar. Örneğin, Charlie Miller ve Chris Valasek Fiat Chrysler’in Jeep Cherokee’sini araştırmaya iki yıllarını verdiler. Seçimleri mantıklıydı çünkü Jeep’leri vardı.

Jeep nasıl hacklendi. İkinci kere. https://t.co/EWHxi3nVZp pic.twitter.com/L4JHTygOvE

— Kaspersky Lab Turkey (@KasperskyTR) August 19, 2016

Diğer araştırmacılar evrensel bir araştırma başlattılar. Örneğin, 2015’de, Flavio Garcia ve Birmingham Üniversitesindeki takımı anahtarsız giriş sistemi bulunduran araç endüstrisinin neredeyse yarısını hiçbir anahtar olmadan açılabildiğini bulduklarında dehşete düştüler. Bu arabalar Audi, Citroën, Fiat, Honda, Skoda, Volvo ve diğer markaları içeriyordu.

Son zamanlarda araştırmacılar Alman mühendislik firması Kasper & Oswald ile birlikte çalışarak iki yeni güvenlik açığı buldular.

Bu sefer hedef Volkswagen’di: Volkswagen arabaları da anahtar olmadan açılabiliyordu. Tehdit oldukça büyük: Araştırmacılar neredeyse 100 milyon arabanın, 1995’den beri üretilen çoğu VW modelinin risk altında olduğunu söylüyor. Golf VII ile başlayan sadece yeni arabalar bu tehdit altında değil.

Saldırı sadece bir basit ekipmanla oldukça ulaşılabilir: Bir laptop ve yazılım tanımlı radyo. Hatta daha ucuzu, 40 dolarlık radyo alıcısı bulundurdan Arduino.

100 milyon Volkswagen’i nasıl çalarsınız
Otomobillerin gizli parçalarını araştıran araştırmacılar Volkswagen’in 1995’te üretilen arabadan yedinci Golf’e kadar olan tüm arabalarda tek bir kriptografik anahtar kullanıldığını buldu. Başka anahtarlar var ancak diğerlerinden pek bir farkı yok. Anahtarı bulmak saniyeler alırdı.

Anahtarı bilmek yolun yarısı. Sonrasında radyo alıcısı olan Arduino’nun yardımıyla hackerlar arabanın özgün anahtarına “kulak misafiri” olabilir. Bu anahtar arabanın sahibi arabayı açınca iletilir. İki kriptografik anahtar kullanarak suçlular arabayı açacak sahte anahtar elde edebilirler.
Araştırmacılar suçluların sadece bir kez “kulak misafiri” olmasının yeterli olacağını söylüyor. Ayrıca, hedef aracın 100 metre yakınında olmaları gerekiyor ki bu uzaklık dikkat çekmemek için oldukça iyi bir mesafe.

#Progressive #Snapshot Exposes Drivers to Car Hacking: https://t.co/c8I8lc1zu0

— Kaspersky Lab (@kaspersky) January 27, 2015

Araştırmacılar değerli anahtarların arabanın hangi bölümünde tutulduğunu açıklamıyor. Araştırmaları hırsızların araba çalmasına yardım etmek için yapılmadı. Bölümlerin modellere göre değiştiğini söylüyorlar. Volkswagen tehdidin farkında ancak bunu düzeltmek için yapabilecekleri çok kısıtlı.

Bazı güzel haberler de var: Bu metot, suçluların arabayı açmasına olanak sağlıyor ancak arabayı süremiyorlar. İmmobilizerlar, fiziksel anahtar olmadan arabanın sürülmesine karşı arabayı koruyorlar. Ancak kötü haberler de var: İmmobilizerların da güvenlik açıkları var. Suçlular istedikleri VW arabasını açmak için iki yolu da kullanıyorlar. Tabi bazı istisnalar var. Golf VII ile başlayan modellerde her model için özgün anahtarlar kullanıldı.

Uzman yorumları
Kaspersky Lab uzmanı Sergey Zorin durumu şöyle açıklıyor:

Bu hikaye saldırganın takımında profesyoneller ve yeterince zaman varsa her şeyin tehlikede olabildiğini gösteriyor. Ek yatırımla bu araştırmanın diğer araba üreticileri için yapılması mümkün. Ancak, bu örnekle araştırmacılar araba üreticilerinin aslında bilgi güvenliğine önem verdiklerini ve yeni model arabalarda bu güvenlik açıklarının olmadığını gösteriyor. Yani bu araba ve diğer araba üreticilerinin güvenlik konusunda eksik olduğunu söylemek doğru olmaz.

İlk problem, geleneksel olarak araba üreticilerinin güvenlik dahil her şeyi planlaması gerektiği. Bu beş ila yedi sene süren bir süreç. Güvenlik ve hack metotlarının bundan çok daha kısa sürede geliştiği çok açık.

Shock at the wheel: your Jeep can be hacked while driving down the road https://t.co/40h8StaLFG pic.twitter.com/bOvjzQb9K4

— Kaspersky Lab (@kaspersky) July 23, 2015

Başka bir problem teknolojinin kısıtlamalarından doğuyor. Riskleri yok etmek için güvenlik düzeltmelerini hızlı ve geniş çaplı yapmak her zaman mümkün olmuyor. Bu iki sorun bundan sonra üretilen arabalarda yükseltme mekanizmaları kullanılarak çözülebilir. Böylelikle güvenlik açıkları bulunan bölgeler yamalanabilir. Üretimi bundan beş sene sonraya olan yeni jenerasyon arabaların bu teknolojiye sahip olmasını umuyoruz.

Üçüncü problem, araba üreticilerinin uğraştığı arabalarda bağlantı sorunu. Bağlı araba konsepti, arabanın içindeki birden çok modülün dışarıdan bir domain ile iletişime geçmesidir. Bu veri paylaşım kanallarından bazı güvenlik açıkları çoktan bulundu. Bir güvenlik firması olarak, bu alanda birkaç yıldır çalışıyoruz ve başka tehlikelerin geldiğini görebiliyoruz. Güvenilir bağlantı teknolojileri hem güvenlik hem otomotiv firmalarının gelecek yıllarda yoğunlaşması gereken bir alan olacak.