Skoda Araçlarının İnfotaniment Sistemlerinde Keşfedilen Güvenlik Açıkları
Güvenlik araştırmacıları, bazı Skoda araçlarının infotainment (eğlence ve bilgi) sistemlerinde birkaç güvenlik açığı keşfetti. Bu açıklar, kötü niyetli kişilerin uzaktan belirli kontrolleri devreye sokmasına ve araçların konumunu gerçek zamanlı olarak takip etmesine imkan tanıyabilir.
Otomotiv sektöründe uzmanlaşmış bir siber güvenlik firması olan PCAutomotive, Black Hat Europe etkinliğinde Skoda Superb III sedanın en son modelinde etkileyen 12 yeni güvenlik açığını ortaya koydu. Bu, geçen yıl yine aynı modelde açıklanan 9 güvenlik açığından sonra geliyor. Skoda, Alman otomobil devi Volkswagen’in bir markasıdır.
Bluetooth ile Uzaktan Saldırı İhtimali
PCAutomotive’un güvenlik değerlendirme yöneticisi Danila Parnishchev, TechCrunch’a verdiği demeçte, bu açıkların hacker’lar tarafından zararlı yazılım enjekte etmek için bir araya getirilebileceğini belirtti. Bir saldırgan, bu açıkları kullanmak için Skoda Superb III’ün medya ünitesine Bluetooth üzerinden bağlanmak zorunda. Ancak Parnishchev, “saldırının 10 metre içinde kimlik doğrulama olmaksızın gerçekleştirilebileceğini” söylüyor.
Güvenlik açıkları, aracın MIB3 infotainment ünitesinde keşfedildi ve bu, saldırganların kontrolsüz kod yürütme yeteneği kazanmalarını sağlıyor. Saldırganlar, ünite her başlatıldığında zararlı kod çalıştırabilir, canlı GPS koordinatları ve hız verisi alabilir, araç içi mikrofon aracılığıyla konuşmaları kaydedebilir, bilgi ekranının ekran görüntülerini alabilir ve araçta rastgele sesler çalabilir.
Kişisel Verilerin Güvenliği Riski
Parnishchev ayrıca, PCAutomotive’un Superb III üzerinde doğrulama yaptığı için bu açıkların, eğer sahibi iletişim senkronizasyonunu etkinleştirmişse, araç sahibinin telefon rehberine erişim sağlamak için de kullanılabileceğini ifade etti. “Genelde telefonlar şifreli olduğu için, iletişim veritabanını kolayca çıkarmak mümkün değildir,” diyen Parnishchev, “Ancak infotainment ünitesinde durum böyle değil. İletişim veritabanı düz metinde depolanıyor.”
Parnishchev, aracın kritik güvenlik sistemlerine erişim sağlamak için araç içi ağ geçidi kısıtlamalarını aşmanın bir yolunu bulamadıklarını da sözlerine ekledi.
Vulnerable Araç Sayısı ve Patch Durumu
PCAutomotive, TechCrunch ile paylaştığı araştırmada, hassas MIB3 ünitelerinin birden fazla Volkswagen ve Skoda modelinde kullanıldığını ve bu güvenlik açıklarının etkileme potansiyeli nedeniyle 1,4 milyonun üzerinde araca ulaşabileceğini tahmin ediyor.
Bununla birlikte, Parnishchev, araç sayısının ikinci el parça pazarını göz önüne alırsak çok daha yüksek olabileceğini belirtti. “eBay’de bir parça numarası ararsanız bulursunuz ve eğer önceki kullanıcı bunu silmediyse, onların iletişim veritabanı da orada olacaktır,” diye açıkladı.
PCAutomotive, Volkswagen bu güvenlik açıklarını bildirim programları aracılığıyla ilettikten sonra yamanıldığını bildirdi.
TechCrunch’a gönderilen bir e-posta ile yanıt veren Skoda sözcüsü Tom Drechsler, “Infotainment sistemi ile ilgili bildirilen güvenlik açıkları, ürünlerimizin yaşam döngüsü boyunca sürekli iyileştirme yönetimi ile ele alınmıştır ve alınmaktadır. Müşterilerimiz veya araçlarımız için hiçbir güvenlik tehlikesi bulunmamaktadır,” dedi.