Sesli dinle

Güvenlik araştırmacıları, arabaları uzaktan kontrol etmelerine de olanak tanıyan bir yönetim portalını hacklediler.

Subaru, yamalanmış olmasına rağmen modern araçların sayısız gizlilik sorununu ortaya çıkaran büyük bir güvenlik açığını açıkta bıraktı. Güvenlik araştırmacıları Sam Curry ve Shubham Shah, kolayca hacklenebilen bir çalışan web portalıyla ilgili bulgularını (Wired aracılığıyla) paylaştılar. Erişim sağladıktan sonra, test ettikleri aracı uzaktan kontrol edebildiler ve bir yıllık konum verilerine ulaşabildiler. Araştırmacılar, Subaru'nun araç verileriyle ilgili güvenlik açıklarının tek örnek olmadığını belirtiyorlar.

Güvenlik analistleri Subaru'yu bilgilendirdikten sonra, şirket açığı hızla kapattı. Neyse ki araştırmacılar, etik olmayan bilgisayar korsanlarının daha önce bu açığı kullanmadığını söylüyor. Ancak, yetkili Subaru çalışanlarının, sahiplerin konum geçmişine yalnızca aşağıdaki bilgilerden birinin sağlanması durumunda erişebileceği belirtiliyor: sahibinin soyadı, posta kodu, e-posta adresi, telefon numarası veya plaka numarası.

Hacklenen yönetici portalı, Subaru'nun Starlink bağlantı özellikleri paketinin bir parçasıydı. (Bu, aynı adı taşıyan SpaceX uydu internet hizmetiyle hiçbir ilgisi yok.) Curry ve Shah, LinkedIn’de bir Subaru Starlink çalışanının e-posta adresini bulup, iki zorunlu güvenlik sorusunu atlattıktan sonra çalışanın parolasını sıfırlayarak içeri girdiler. Çünkü bu işlem, Subaru’nun sunucularında değil, son kullanıcının web tarayıcısında gerçekleşiyordu. Ayrıca, “aklımıza gelebilecek en basit şeyi yaparak: kullanıcı arayüzünden istemci tarafı kaplamasını kaldırarak” iki faktörlü kimlik doğrulamayı da atlattılar.

Araştırmacıların testleri, test aracının konum verilerini bir yıl geriye kadar izlemelerini sağladı. Ancak yetkili Subaru çalışanları, araç sahiplerinin konum verilerine daha da geriye dönük erişebileceği ihtimalini göz ardı edemiyorlar. Bunun nedeni, test aracının (Curry’nin annesi için satın aldığı 2023 Subaru Impreza) yalnızca o kadar süredir kullanılıyor olmasıydı. Ayrıca, konum verileri geniş bir alanı kapsayamıyordu: sadece 17 fitlik bir doğruluk payı vardı ve motor her çalıştığında veriler güncelleniyordu.

Curry, “Gösterge panelinde kendi aracımı arayıp bulduktan sonra, Starlink yönetici panelinin ABD, Kanada ve Japonya'daki hemen hemen tüm Subaru’lara erişebileceğini doğruladım,” diye yazdı. “Hiçbir şeyin eksik olmadığını doğrulamak istedik, bu yüzden bir arkadaşımıza ulaştık ve aracını hackleyip, tam bir araç ele geçirmeyi gerçekten engelleyen hiçbir ön koşul ya da özellik bulunmadığını göstermek istedik. Bize plakasını gönderdi, yönetici panelinde aracını açtık ve en sonunda kendimizi arabasına ekledik.”

Konumlarını takip etmenin yanı sıra, yönetici portalı araştırmacılara herhangi bir Starlink bağlantılı Subaru aracını uzaktan başlatma, durdurma, kilitleme ve kilidini açma imkânı sundu. Curry, annesinin kendilerini yetkili kullanıcı olarak eklediklerine dair herhangi bir bildirim almadığını ve arabasının kilidini açtıklarında da herhangi bir uyarı almadığını belirtti.

Ayrıca, herhangi bir kullanıcı, müşterinin acil durum irtibat kişileri, yetkili kullanıcılar, ev adresi, kredi kartının son dört hanesi ve araç PIN’i gibi kişisel bilgilerine ulaşabiliyordu. Araştırmacılar, ayrıca sahibinin destek arama geçmişine, aracın önceki sahiplerine, kilometre okumasına ve satış geçmişine de erişebildiler.

Güvenlik araştırmacıları, tek bir çalışanın "çok fazla kişisel bilgiye" erişebilmesinin izleme ve güvenlik açıklarının yalnızca Subaru'ya özgü olmadığını belirtiyor. Wired, Curry ve Shah'ın daha önceki çalışmalarının Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota ve diğer araçları etkileyen benzer güvenlik açıklarını ortaya çıkardığını bildiriyor.

İkili, otomotiv endüstrisinin konum takibi ve zayıf güvenlik önlemleri konusunda ciddi endişeler için birçok neden olduğunu düşünüyor. Curry, “Otomotiv endüstrisi, Teksas’tan 18 yaşındaki bir çalışanın Kaliforniya’daki bir aracın fatura bilgilerini sorgulayabilmesi ve bunun gerçekten bir alarm zili çalmaması açısından benzersizdir,” diye yazdı. “Bu, onların normal günlük işlerinin bir parçasıdır. Çalışanların çoğu çok fazla kişisel bilgiye erişebilir ve her şey güvene dayanır. Sisteme varsayılan olarak bu kadar geniş erişim yerleştirildiğinde, bu sistemleri gerçekten güvence altına almak oldukça zor görünüyor.”

Araştırıcıların raporunun tamamı okumaya değer.

---

---