16 Araba Markasında API Güvenlik Açıkları Ortaya Çıktı!
  1. Anasayfa
  2. Güvenlik

16 Araba Markasında API Güvenlik Açıkları Ortaya Çıktı!

Merhaba değerli Tech Dergi takipçileri elimize ulaşan bir son dakika bilgisine göre yeni nesil elektrikli araçlarda ve yarı otonom otomobil modellerinde 16 farklı araç üreticisi firmanın sağladığı yazılımlarda API güvenlik açıkları tespit edildi haberin detaylarını sizler için araştırdık.

16 farklı üreticiden milyonlarca aracın içinde bulunduğu ve etkilendiği çok sayıda API güvenlik hatası, arabaların kilidini açmak, çalıştırmak ve izlemek için kötüye kullanılabilir durumda, ayrıca araç sahiplerinin mahremiyetini etkileyebilecek düzeyde olan hatalar şu marka araçlarda tespit edildi. Acura, BMW , Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota’ya güç veren otomotiv API leri’nin yanı sıra yazılımların da güvenlik açıkları bulundu. Bu Marka araçların yazılım alt yapısı üzerine çalışan Reviver, SiriusXM ve Spireon’dan yapılan açıklamada.

Kusurlar, dahili şirket sistemlerine ve kullanıcı bilgilerine erişim sağlayabilecek düzeyde olduğu ve bir saldırganın kod yürütmeyi gerçekleştirmek için uzaktan komutlar göndermesine olanak tanıyan zayıflıklara kadar geniş bir yelpazede olduğunu da doğruladı.

16 Araba Markasında API Güvenlik Açıkları Ortaya Çıktı!

Yuga Labs Araştırma Şirketi Konuyla İlgili Açıklama Yaptı.

Araştırma, Yuga Labs araştırmacısı Sam Curry ve arkadaşlarının , SiriusXM tarafından sağlanan bağlantılı bir araç hizmetindeki arabaları API güvenliği için potansiyel olarak uzaktan saldırı riskine sokabilecek güvenlik kusurlarını detaylandırdığı geçen yılın sonlarına ait önceki araştırma verilerini de doğruluyor.

Spireon’un telematik çözümünü ilgilendiren sorunların en ciddisi, tam yönetim erişimi elde etmek için kullanılmış olabilir, bu da bir saldırganın yaklaşık 15,5 milyon araca keyfi komutlar vermesinin yanı sıra cihaz yazılımını güncellemesine olanak tanır ve araçlara kendi kötü amaçlı yazılımlarını yükleyerek istedikleri işlemleri rahatça gerçekleştirmelerine imkan sunar.

Araştırmacılar Gölge Yazılım İle Deneme Yaptı.

Araştırmacı ekibin kurduğu Gölge Yazılım ile saldırganların izlediği yolun API güvenliği olduğunu keşfettikleri ve doğruladıkları da bir deneme ile ortaya koyuldu.

Araştırmacılar, birkaç farklı büyük şehirde Polis, Ambulans ve diğer kolluk araçlarının marş motorlarını takip etmelerine ve kapatmalarına yarayan bir yazılım ile belirtilen markalardaki Polis ve Ambulans araçlarında denemeler yaptı ve bu yöntem araçlara komutlar göndermemize izin verdi! Şeklinde bir açıklamada bulundular.

Mercedes-Benz’de tanımlanan güvenlik açıkları, yanlış yapılandırılmış çoklu oturum açma SSO kimlik doğrulama şeması aracılığıyla dahili uygulamalara erişim sağlayabilirken, diğerleri kullanıcı hesabının ele geçirilmesine ve hassas bilgilerin ifşa edilmesine izin verebilir olduğunu gözler önüne serdi.

Araçların Tüm API Modüllerinin Yönetimini Ele Geçirmek Mümkün!

Diğer kusurlar, API güvenliği içerisinde müşteri kayıtlarına, dahili bayi portallarına erişmeyi veya bunları değiştirmeyi, araç GPS konumlarını gerçek zamanlı olarak izlemeyi, tüm Reviver müşterileri için plaka verilerini yönetmeyi ve hatta araç durumunu çalıntı olarak güncellemeyi bile mümkün kılacak seviyede hatalar içeriyor.

O zamandan beri tüm güvenlik açıkları, sorumlu API güvenlik ifşasının ardından ilgili üreticiler tarafından giderilmiş olsa da, bulgular, tehditleri kontrol altına almak ve riski azaltmak için derinlemesine savunma stratejisine duyulan ihtiyacı da gözler önüne seriyor.

Araştırmacılar bu araştırmanın sonunda, Bir saldırganın, araç telematik sistemlerinin kullandığı API uç noktalarında güvenlik açıkları bulabilirse, kornaya basabilir, ışıkları yakabilir, uzaktan izleyebilir, araçları tamamen uzaktan kilitleyebilir, kilidini açabilir ve çalıştırabilir veya durdurabilir şeklinde bir açıklama yaptılar.

16 Araba Markasında API Güvenlik Açıkları Ortaya Çıktı!

Araçlara Yönelik Siber Saldırı Oranları Çok Yüksek Durumda.

Hacker One teknik hizmetler üst düzey yöneticisi Sandeep Singh, Cihazlarımızın birbirine bağlı olması, arabaların güvenliğini sağlamayı daha zor hale getiriyor dedi ve son üç yılda arabalara yönelik siber saldırıların %225 artması ve bu saldırıların %84,5’inin uzaktan gerçekleştirilmesi API güvenlik örneğinde olduğu gibi, büyük bir tehdit altındayız dedi. Bununla birlikte otomotiv korsanlıklarının büyük oranda artışına değinen Singh etik bilgisayar korsanlığı topluluğuyla işbirliği yapma ihtiyacının bile doğabileceği şeklinde bir açıklama yaptı.

Açıklamasının devamında özetle;

Otomobil teknolojisi daha da geliştikçe, akıllı yazılım sistemlerinin karmaşıklığı da artıyor. Akıllı özelliklerin neden olduğu yazılım tedarik zinciri güvenlik açıklarını belirlemek, yazılım ve donanım sistemleri hakkında derin bilgi ve bağlantılı araçlara ve otomotiv sistemlerine özgü özel protokollerin anlaşılmasını gerektirir diye ekledi.

Sandeep Singh Hacker One Teknik Hizmetler Üst Düzey Yöneticisi.

Güvenlik kaygılarımız gün geçtikçe artarken Teknolojilerde bir bu kadar hızla gelişmeye devam ediyor. Siber korsanlar Mobil ve Bilgisayar ortamlarında bizi tehdit ederken artık araçlarımızda akıllı ev Teknolojilerin de ve kısacası yazılımın ve donanımın olduğu her yerde karşımıza çıkıyorlar bununla yaşamayı öğrenmeli ve kendimizi bu gibi konulara karşı bilinçlendirmeliyiz.

Bir başka konuda görüşmek üzere takipte kalın güncel kalın.

Yeniliklerden ve güncel gelişmelerden ilk siz haberdar olmak istiyorsanız Tech Dergi Twitter adresimizi takip etmeyi unutmayın.

GÜNCEL KONULAR:

2022’de Türkiye’de 1 milyon siber saldırı gerçekleşti!

Ben Murat, 27 yaşında, evli ve bir çocuk babasıyım. Teknoloji tutkunu birisi olarak, okumak, yazmak ve araştırmak benim için vazgeçilmezler. Tech Dergi'de edindiğim deneyimlerle, sizlere teknoloji dünyasındaki son gelişmeleri aktarmaktan mutluluk duyacağım. İletişim E-Posta Adresi: murattimur@techdergi.net

Yazarın Profili
Paylaş
İlginizi Çekebilir

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir