“Tekerlekli bilgisayarlarımız” rahatlığımızı artıran özelliklere sahip ancak otomobil hack ‘leme sevdalıları her zaman iş başında. Bu durum çoğu zaman gizlilik risklerini de beraberinde getiriyor ve bunu fark etmeyebiliyoruz.
Başlığında “Modern Araçların Tehlikeye Atılması” yazan bir sunum, hacklenmiş bir arabanın kötü niyetli bir aktörün kontrolü altında aniden durması veya savrulması gibi dramatik bir gösteri izleyeceğiniz beklentisini yaratabilir. Konuyu anladığınızda aracın kritik sürüş sistemleri yerine “sadece” bilgi-eğlence sisteminin güvenlik açıklarına sahip olduğunu öğrenerek küçük bir hayal kırıklığı yaşayabilirsiniz. Ancak bu beklenmedik duruma rağmen Danila Parnishchev ve Artem Ivachev tarafından Black Hat Europe 2024’te sunulan PCAutomotive’in araştırmasının önemini anlamak için okumaya devam edin.
İki güvenlik araştırmacısı, kötü niyetli kişilerin aracın mikrofonunu kontrol etmek, yolcuları kaydetmek ve kaydı aynı sistem üzerinden oynatmak, kişisel verileri sızdırmak, dahili GPS aracılığıyla aracı ve hızı takip etmek ve bağlı bir cihaz aracılığıyla yüklenen kişi listesini çalmak için bilgi-eğlence ünitelerindeki çeşitli kusurlardan nasıl yararlanabileceklerini ayrıntılı olarak açıkladı.
Ancak nedense bu durum, örneğin bir akıllı telefona yapılan ve saldırganın cihazı takip etmesine, mikrofonunu kontrol etmesine ve veri ve kişileri dışarı sızdırmasına olanak tanıyan bir saldırıdan daha az istilacı hissettiriyor. Bir arabayı hackleyebilme beklentisi, felaketin görsel bir imgesini, arabadakilerin ve diğerlerinin hayatlarına yönelik bir tehlikeyi sağlar, bu nedenle sorun “sadece” gizlilik ve kişisel verileri içerdiği ortaya çıktığında bu bir rahatlama gibi hissedilir. Ancak bu, potansiyel gizlilik etkilerinin hafife alınması gerektiği anlamına gelmez.
Bir otomobil hack ‘inin mekaniği
Bir akıllı telefonu bir otomobilin bilgi-eğlence sistemine ilk kez bağladığınızda genellikle kişileri doğrudan otomobilin sistemine yükleme ve senkronize etme seçeneğiniz vardır. Bu, ekrandaki kişilere sorunsuz erişim sağlar ve gerektiğinde arama yapmanıza olanak tanır. Araştırmacılar, değiştirilmiş bir kişi listesi yükleyerek sistemdeki bir güvenlik açığından yararlanabileceklerini ve uzaktan komutlar verebileceklerini (uzaktan kod yürütme – RCE) keşfettiler.
Otomobil hack ‘lendikten sonra yukarıda da belirtildiği gibi bilgi-eğlence sisteminin bazı unsurlarını kontrol edebilir ve verileri dışarı sızdırabilirler. Konferansta ekip tarafından açıklanan güvenlik açıklarının 1.4 milyon aracı etkilediğini açıklıyor. 21 güvenlik açığının tamamı da ilgili üreticiler aracılığıyla güncellenmiş yazılımlarla çözülmüş.
Bununla birlikte, vurgulanan mahremiyet endişeleri, istismar fırsatı gibi önemlidir. Kontrolcü bir partnerin sevgilisini izlediğini ve iletişim ve diğer verilerine eriştiğini düşünün. Bu durum arabanın bilgi-eğlence sistemi aracılığıyla ve kurbanın bilgisi veya rızası olmadan gerçekleşir. Aynı derecede rahatsız edici bir casusluk açısı da var, eminim bu tür bir otomobil hack ‘inin büyük ölçekte gözetleme ve istihbarat toplama için nasıl kullanılabileceğini gözünüzde canlandırabilirsiniz.
Evrime ihtiyatla yaklaşmak
Sunumun başlığı ve diğer benzer sunumlar, kasıtsız olarak zihinleri yanlış yönlendirebilir ve hatta benimsememiz gereken şeye karşı güvensizliğe neden olabilir. Otomotiv endüstrisi dönüşüyor ve bu tür risk tasvirleri kamuoyunun bu yeniliklere olan güvenini bile sarsabilir.
Örneğin, kısa bir süre önce Phoenix’te Waymo’nun sürücüsüz taksisine binme deneyimini yaşadım. Bir uygulama aracılığıyla talepte bulunuyorsunuz, araç yanaşıyor, biniyorsunuz ve rahat bir şekilde yolculuğa başlamak için düğmeye basıyorsunuz: Bir otelden havaalanına gittim ve arkadaşlarımla ve ailemle paylaşmak için kısa bir video çektim (bakın sürücü yoktu). Ortak yanıt “asla bana göre değil, kendini güvende hissettin mi?” oldu.
Eminim bir psikolog bu duyguları ayrıntılı olarak açıklayabilir; ancak benim için bu, düzenleyici bir sürece, risk değerlendirmesine ve bunu geliştiren yetenekli mühendislere güvenmekle ilgili. Waymo’nun araçları gelişigüzel prototipler değil; test edildiler, düzenleyiciler ve güvenlik savunucuları tarafından incelendiler ve sigortacılar riskin kabul edilebilir olduğuna karar verdiler, bu büyük bir başarı.
Bu yıl Black Hat Europe’da katıldığım sunumlar sorulduğunda, “birileri nasıl bir otomobil hack ‘leneceğini gösterdi” demeyeceğim. Daha doğru bir ifadeyle “birisi bir aracın bilgi-eğlence sisteminin nasıl ele geçirileceğini gösterdi” diyeceğim.
Bu ayrım önemlidir. Teknolojiden korkmamalı, aksine onun evrimini kucaklamalıyız. Kusurlar ve ardından gelen düzeltmeler evrimin bir parçasıdır ve değişime açıklık duygusuyla ama aynı zamanda, kabul ediyorum, biraz da ihtiyatla yaklaşmamız gerekir.
Siber risk ihmale gelmez: İşletmenizi her yerde koruyun
ESET Tehdit Raporu H2 2024
