Güvenlik 11 TEMMUZ 2014 / 11:47

İnternet bağlantılı otomobiller güvenlik riski taşıyor

Bağlantılı otomobillerdeki yazılımlar, siber suçluların potansiyel olarak saldırı düzenleyebileceği alan olarak öne çıkıyor.

Kaspersky Lab ve pazarlama ve dijital medya şirketi IAB, First Annual Connected Cars Study'nin (Yıllık Bağlantılı Otomobil Çalışması) sonuçlarını yayınladı. Temel amaç önemli bazı sorulara cevap vermek ve yazılım ekosistemine dair mevcut tüm bilgileri birleştirerek, bağlantılı otomobil pazarına genel bir bakış sağlamaktı.

Sürücüler, yeni nesil bağlantılı otomobillerde bulunan haberleşme ve İnternet hizmetleri hakkındaki güvenlik endişelerini artık göz ardı etmemeliler. Bu yalnızca aracınızı güvenli bir şekilde park etmenize yardımcı olmaktan çok daha fazlası; artık sosyal ağlara erişim, e-posta, akıllı telefon bağlantısı, rota hesaplaması, araç içi uygulamalar vb. uygulamaları kapsıyor. Bu teknolojiler, günümüz kullanıcıları için kolaylık ve yeni riskleri beraberinde getiriyor. Bu nedenle siber saldırılarla, kaza veya hileli bakımla sonuçlanabilecek farklı vektörleri analiz etmek önemli.

Gizlilik, güncellemeler ve bu araçlara özel akıllı telefon uygulamaları, siber suçlular için üç ayrı saldırı vektörüne dönüşebiliyor. Kaspersky Lab Baş Güvenlik Araştırmacısı Vicente Diaz şu yorumu yapıyor:
"Bağlantılı otomobiller, çok uzun zamandır PC ve akıllı telefon dünyasında mevcut olan tehditler için yeni bir yer açabilir. Örneğin bağlantılı otomobil sahipleri, şifrelerinin çalınmasıyla karşı karşıya kalabilir. Bu aracın yerini belirlemeyi ve kapı kilitlerini uzaktan açmayı sağlayacaktır. Gizlilik konuları oldukça önemlidir. Günümüz sürücülerinin daha önce var olmamış yeni risklerin farkında olması gerekiyor."

Kaspersky Lab'ın BMW'nin ConnectedDrive sisteminin analizine dayanan kavram kanıtı, birkaç tane potansiyel saldırı vektörü buldu.

Çalınan Kimlik Bilgileri: Kimlik avı, tuş kaydediciler veya sosyal mühendislik gibi tanıdık araçları kullanarak BMW'nin web sitesine erişmek için gereken kimlik bilgilerini çalan, kullanıcı bilgilerine yetkisiz bir şekilde erişim sağlayan üçüncü taraflar ardından aracın kendisine de erişim sağlayabilir.

Böylece, aynı kimlik bilgileriyle mobil bir uygulama yükleyerek ve potansiyel olarak otomobili açmaya gerek duymadan uzaktan hizmetleri etkinleştirerek otomobili hareket ettirmeleri mümkün oluyor.

Mobil Uygulama: Mobil uzaktan çalıştırma hizmetlerini etkinleştirdiğinizde, aracınız için yeni bir anahtar seti oluşturmuş olursunuz. Uygulama güvenli olmadığında, telefonunuzu her kim çalarsa araca da erişim sahibi olabilecek. Çalıntı bir telefon sayesinde, veritabanı uygulamalarını değiştirmek ve herhangi bir PIN doğrulamasını atlatmak mümkün olacaktır. Bu da siber bir saldırganın uzaktan hizmetleri etkinleştirmesini kolaylaştırır.

Güncellemeler: Bluetooth sürücüleri, BMW web sitesinden indirilen dosyanın bir USB'ye yüklenmesi ile güncellenir. Bu dosya şifreli ya da imzalı değildir. Araç üzerinde çalışan dahili sistemler hakkında bir sürü bilgi içermekte. Bu bilgilerle potansiyel bir saldırgan, hedeflenen ortama erişim sağlayabilir ve hatta zararlı kod çalıştıracak şekilde değişiklik yapabilir.

Haberleşme: Bazı fonksiyonlar, aracın içindeki SIM'i kullanarak SMS üzerinden iletişim kurabilir. Bu haberleşme kanalına girmek, operatörün şifreleme düzeyine bağlı olarak, 'sahte' talimatlar gönderilmesini mümkün kılar. En kötü senaryoda, bir suçlu BMW'nin haberleşme sistemini kendi talimatları ve hizmetleri ile değiştirebilir.

Çalışma, pazardaki bağlantı platformlarıyla ilgili iş modellerini ve gelecekteki eğilimleri keşfetmenin yanı sıra İspanyol otomobil sektöründeki çevrimiçi bağlanabilirliği ve öncü uygulamaları da inceliyor.

21 farklı araç modelini analiz eden rapordaki ana bulgular şöyle:

•İşletim Sistemi, bağlantı modları ve uygulamalar son derece parçalanmıştır.

•Ücretsiz hizmetlerde süre sınırı bulunmaktadır: birçok üretici yalnızca belirli bir süre için ücretsiz abonelik imkanı sunmaktadır.

•Kapsama problemleri: çevrimiçi birçok hizmet için 3G bağlantısı gerekmektedir.

•Veri kullanımı: bazı kullanıcılar kullandıkları ek veriler için ödeme yapmak zorunda kalmaktadır.

•Ses asistanlar: modellerin çoğu, bağlantıları kontrol etmek için en güvenli yollardan biri olarak bu özelliği kullanmaktadır.

Bu çalışma, IAB İspanya tarafından Applicantes, Motor.com ve Kaspersky Lab ile birlikte yürütüldü.

IAB İspanya hakkında daha fazla bilgi için ; http://www.iabspain.net adresine ulaşabilirsiniz.