Araştırmacılar birçok ünlü otomobil üreticisinin araçlarının uzaktan kumandası için hazırlanan uygulamaların güvenliğini inceledi. Uzmanlar, tüm uygulamalarda, saldırganların internet bağlantılı araç sahipleri için önemli hasara neden olmalarına olanak sağlayacak potansiyel bir takım güvenlik sorunları bulunduğunu keşfetti.
Son birkaç yılda arabalar aktif olarak internete bağlanmaya başladı. Bağlantı sadece bilgi-eğlence sistemlerini değil, aynı zamanda artık çevrimiçi olarak erişilebilen kapı kilidi ve ateşleme gibi kritik araç sistemlerini de içeriyor. Mobil uygulamaların yardımı ile aracın konum koordinatlarını ve rotasını elde etmek, kapıları açmak, motoru çalıştırmak ve ek araç içi cihazları kontrol etmek artık mümkün. Bunlar bir yandan son derece faydalı fonksiyonlar fakat üreticilerin bu uygulamaları siber saldırı risklerinden nasıl korudukları da bir soru işareti.
7 farklı uzaktan araç kontrolü uygulaması denendi
Buna cevap bulabilmek isteyen Kaspersky Lab araştırmacıları, büyük otomobil üreticileri tarafından geliştirilmiş olan ve Google Play istatistiklerine göre on binlerce ve bazı örneklerde de beş milyon indirilmeye kadar ulaşan 7 adet uzaktan araç kontrol uygulamasını test etti. Araştırma sonucunda, incelenen uygulamaların her birinin çeşitli güvenlik sorunları içerdiği ortaya çıktı:
- Uygulamalarda tersine mühendislik tekniklerine karşı bir tedbir yok. Sonuç olarak, kötü niyetli kullanıcılar uygulamanın nasıl çalıştığını anlayabilir ve sunucu tarafı altyapısına veya arabanın multimedya sistemine erişmelerini sağlayacak bir güvenlik açığı bulabilirler.
- Uygulamalarda, suçluların kendi kodlarını ekleyerek orijinal programı sahte bir sahtesiyle değiştirmelerini engelleyecek kod bütünlüğü kontrolü yok.
- Kök dizine erişimi (rooting) saptama teknikleri kullanılmamış. Kök hakları, Truva atlarına neredeyse sınırsız yetenek sağlar ve uygulamayı savunmasız bırakır.
- Kötü amaçlı uygulamaların kimlik avı pencereleri göstermelerine ve kullanıcıların kimlik bilgilerini çalmalarına yardımcı olan uygulama bindirme tekniklerine karşı koruma yok.
- Kullanıcı adı ve parolalar düz metin olarak saklanıyor. Bu durumdan faydalanan bir suçlu, kullanıcıların verilerini kolayca çalabilir.
Bu açıklardan başarıyla faydalanan saldırganlar, arabanın kontrolünü ele geçirerek kapıların kilidini açabilir, güvenlik alarmını kapatabilir ve hatta teorik olarak aracı çalabilir de.
Arabanın uygulamasına erişim elde edilebilir
Herhangi bir senaryoda saldırı vektörüne ek bazı hazırlıklar gerekecektir. Örneğin, özel hazırlanmış ve kök dizine erişim sağlayacak kötü niyetli bir takım uygulamaları yüklemeleri yönünde araç sahiplerini ayartarak arabanın uygulamasına erişim elde etmek gibi. Bununla birlikte, Kaspersky Lab uzmanları, çevrimiçi bankacılık bilgileri ve başka önemli verileri hedefleyen birçok başka zararlı yazılım üzerinde yaptıkları incelemelere dayanarak, internet bağlantılı araçların sahiplerini hedefleyen ve sosyal mühendislik konusunda tecrübeli suçlular için bunun bir sorun teşkil etmeyeceğini öngörüyor.
Kaspersky Lab Güvenlik Uzmanı Victor Chebyshev, “Araştırmamızın ana sonucuna göre, mevcut durumda internete bağlı arabalar için hazırlanan uygulamalar kötü amaçlı saldırılara karşı hazır değiller. İnternete bağlanan bir otomobilde yalnızca sunucu tarafı altyapısının güvenliğini düşünmemeliyiz. Otomobil üreticilerinin bu anlamda bankaların gittiği yoldan gideceklerini öngörüyoruz. Başlangıçta, çevrimiçi bankacılık uygulamaları da araştırmamızda listelenen tüm güvenlik özelliklerine sahip değildi. Şimdi, bankacılık uygulamalarına yönelik çok sayıda saldırı vakası sonrasında bankalar ürünlerinin güvenliğini geliştirdi. Şanslıyız ki şimdiye kadar otomobil uygulamalarına karşı herhangi bir saldırı vakası tespit etmedik. Bu, araç satıcılarının hâlâ işleri doğru yapacak zamana sahip oldukları anlamına geliyor. Tabii, tam olarak ne kadar zamanları var bilinmiyor. Modern Truva atları çok esnek. Bir gün normal reklam yazılımı gibi davranabilir, ertesi gün yeni uygulamaları hedeflemelerini mümkün kılacak yeni bir konfigürasyonu kolayca indirebilirler. Saldırı yüzeyi gerçekten çok geniş.” diyor.
Kaspersky Lab araştırmacıları, araçlarını ve özel verilerini muhtemel siber saldırılardan korumaları için internete bağlı araç uygulamalarının kullanıcılarına aşağıdaki önlemleri almalarını tavsiye ediyor:
- Kötü amaçlı uygulamalara neredeyse sınırsız imkanlar sağlayacağı için Android cihazınıza root işlemi yapmayın.
- Resmi uygulama mağazaları dışındaki kaynaklardan uygulama yükleme olanağını devre dışı bırakın.
- Yazılımdaki güvenlik açıklarını ve saldırı riskini azaltmak için cihazınızın işletim sistemi sürümünü güncel tutun.
- Cihazınızı siber saldırılara karşı korumak için başarısı kanıtlanmış bir güvenlik çözümü kurun.