Bilgisayar korsanları, sadece plaka taramasıyla Kia araçlarının kilidini uzaktan açtı

[™ Admin]

Bilgisayar korsanları, sadece plaka taramasıyla Kia araçlarının kilidini uzaktan açtı

Soğuk bir sabahta yola çıkmadan on dakika önce arabamı çalıştırmak ve ısıtmak için telefonumda bir uygulama kullanabilmek gerçek bir "gelecekte yaşama" işi. Bayılıyorum. Ancak her şeyi her şeye bağlamak çok fazla potansiyel risk yaratıyor ve güvenlik araştırmacıları bunu gösterdi.

Dört kişilik bir ekip yakın zamanda Kia tarafından üretilen hemen hemen her yeni arabaya mobil bir bağlantıdan biraz daha fazlasıyla uzaktan erişmenin bir yolunu keşfetti. Kia Connect işlevine sahip herhangi bir arabanın plakasını tarayarak neredeyse tam uzaktan erişim elde edebilen bir telefon uygulaması geliştirdiler.

Araç 2014'ten beri Kia modellerinde çalışıyor ve daha yeni arabalar giderek daha fazla özellik sunuyor. Örneğin en son Kia modellerinde araç, GPS aracılığıyla bir arabanın yerini izleyebiliyor, motorunu çalıştırıp durdurabiliyor, kapılarını kilitleyip açabiliyor, ışıklarını ve kornalarını etkinleştirebiliyor ve hatta arabanın 360 derecelik kameralarından bakabiliyordu.

Belki de daha da endişe verici olan, aracın onlara aracın sahibinin kişisel bilgilerine erişim izni vermesiydi: Kia Connect için isim, e-posta ve şifre, ilgili bir telefon numarası ve fiziksel adres hepsi mevcuttu.

Bu uzaktan yetenekler ve bilgiler, aracın sahibi Kia Connect'e aktif olarak abone olmasa bile araç tarafından ifşa edildi. Uygulama tabanlı aracın tek sınırlaması, aracın anahtar olmadan sürülmesini engelleyen bir "immobilizer" bileşenini aşamamasıydı... ancak başkaları da bu sistemleri alt etti.

Paniklemeye başlamadan önce: Sam Curry ve ortakları, Kia'yı Haziran ayında güvenlik açığından haberdar etti ve ifşa Wired'da yayınlanmadan çok önce Ağustos ayında düzeltildi. Sistem ve kavram kanıtı, ekibin arkadaşları ve aileleri tarafından kullanılan arabalarda ve kiralama acentelerinde ve bayilerde kullanılmayan araçlarda "doğada" test edildi. Gerçek insanları tehlikeye atmak için asla kullanılmadı ve araştırmacıların ve Kia'nın söyleyebildiği kadarıyla güvenlik açığı artık ortadan kalktı.

Ancak Curry'nin hack'e ilişkin kamuoyuna açık yazısına bakılırsa, aslında şok edici derecede basit. Bu, ortalama bir insanın yapabileceği bir şey değil, ancak lise düzeyinde bilgisayar bilimi bilgisine sahip biri, her yıl dünya çapında milyonlarca araba satan bir şirket tarafından kurulan bu sistemlere nüfuz edebilir. (Ve benzer sistemler bugün satılan yeni arabaların çoğunda kullanılıyor, bunlardan bazıları zaten benzer şekillerde "hacklendi".)

Wired'ın Curry ile yaptığı röportaj, kabus gibi bir örneği gösteriyor. "Trafikte biri önünüze çıkarsa, plakasını tarayabilir ve istediğiniz zaman nerede olduklarını öğrenebilir ve arabasına girebilirsiniz. Herhangi biri birinin plakasını sorgulayabilir ve temelde onu takip edebilir."

Bunlar, tipik araba alıcılarının muhtemelen farkında olmadığı ve savunmaya hazır olmadıkları güvenlik açıklarıdır. Arabayı ve onu kullanan kişiyi koruma sorumluluğu üreticiye aittir... ve bu sorumluluğu yerine getirmiyor gibi görünüyorlar.

Kaynak: PC World