Kaspersky Lab ve İspanya’nın önde gelen pazarlama ve dijital medya şirketi IAB, First Annual Connected Cars Study’nin (Yıllık Bağlantılı Otomobil Çalışması) sonuçlarını yayınladı. Sürücüler, yeni nesil “bağlantılı otomobiller” de bulunan haberleşme ve İnternet hizmetleri hakkındaki güvenlik endişelerini artık göz ardı etmeliler. Bu yalnızca aracınızı güvenli bir şekilde park etmenize yardımcı olmaktan çok daha fazlası; artık sosyal ağlara erişim, e-posta, akıllı telefon bağlantısı, rota hesaplaması, araç içi uygulamalar vb. uygulamaları kapsıyor. Bu teknolojiler, bir yandan sürücülere büyük avantajlar sağlarken aynı zamanda günümüz kullanıcıları için yeni riskleri de beraberinde getiriyor. Bu nedenle, siber saldırılarla, kaza veya hileli bakımla sonuçlanabilecek farklı vektörleri analiz etmek önemli.
Kaspersky Lab’ın BMW’nin ConnectedDrive sisteminin analizine dayanan kavram kanıtı, birkaç tane potansiyel saldırı vektörü buldu:
Çalınan Kimlik Bilgileri: Kimlik avı, tuş kaydediciler veya sosyal mühendislik gibi tanıdık araçları kullanarak BMW’nin web sitesine erişmek için gereken kimlik bilgilerini çalan ve kullanıcı bilgilerine yetkisiz bir şekilde erişim sağlayan üçüncü taraflar ardından aracın kendisine de erişim sağlayabilir. Böylece, aynı kimlik bilgileriyle mobil bir uygulama yükleyerek ve potansiyel olarak otomobili açmaya gerek duymadan uzaktan hizmetleri etkinleştirerek otomobili hareket ettirmeleri mümkün olmakta.
UZAKTAN ÇALIŞTIRMA
Mobil Uygulama: Mobil uzaktan çalıştırma hizmetlerini etkinleştirdiğinizde, aracınız için yeni bir anahtar seti oluşturmuş olursunuz. Uygulama güvenli olmadığında, telefonunuzu her kim çalarsa araca da erişim sahibi olabilecek. Çalıntı bir telefon sayesinde, veritabanı uygulamalarını değiştirmek ve herhangi bir PIN doğrulamasını atlatmak mümkün olacaktır. Bu da siber bir saldırganın uzaktan hizmetleri etkinleştirmesini kolaylaştırır.
Güncellemeler: Bluetooth sürücüleri, BMW web sitesinden indirilen bir dosyanın bir USB’ye yüklenmesi ile güncellenir. Bu dosya şifreli ya da imzalı değildir ve araç üzerinde çalışan dahili sistemler hakkında bir sürü bilgi içermekte. Bu bilgilerle potansiyel bir saldırgan, hedeflenen ortama erişim sağlayabilir ve hatta zararlı kod çalıştıracak şekilde değişiklik yapabililir.
Haberleşme: Bazı fonksiyonlar, aracın içindeki SIM’i kullanarak SMS üzerinden iletişim kurabilir. Bu haberleşme kanalına girmek, operatörün şifreleme düzeyine bağlı olarak, ’sahte’talimatlar gönderilmesini mümkün kılar. En kötü senaryoda, bir suçlu BMW’nin haberleşme sistemini kendi talimatları ve hizmetleri ile değiştirebilir.