İnternete bağlı arabalar sanıldığı kadar güvenli değil

Kaspersky Lab araştırmacıları, birçok ünlü otomobil üreticisinin araçlarının uzaktan kumandası için hazırlanan uygulamaların güvenliğini inceledi. Uzmanlar, tüm uygulamalarda, saldırganların internet bağlantılı araç sahipleri için önemli hasara neden olmalarına olanak sağlayacak potansiyel bir takım güvenlik sorunları bulunduğunu keşfetti.

Son birkaç yılda arabalar aktif olarak internete bağlanmaya başladı. Bağlantı sadece bilgi-eğlence sistemlerini değil, aynı zamanda artık çevrimiçi olarak erişilebilen kapı kilidi ve ateşleme gibi kritik araç sistemlerini de içeriyor. Mobil uygulamaların yardımı ile aracın konum koordinatlarını ve rotasını elde etmek, kapıları açmak, motoru çalıştırmak ve ek araç içi cihazları kontrol etmek artık mümkün. Bunlar bir yandan son derece faydalı fonksiyonlar fakat üreticilerin bu uygulamaları siber saldırı risklerinden nasıl korudukları da bir soru işareti.
Buna cevap bulabilmek isteyen Kaspersky Lab araştırmacıları, büyük otomobil üreticileri tarafından geliştirilmiş olan ve Google Play istatistiklerine göre on binlerce ve bazı örneklerde de beş milyon indirilmeye kadar ulaşan 7 adet uzaktan araç kontrol uygulamasını test etti. Araştırma sonucunda, incelenen uygulamaların her birinin çeşitli güvenlik sorunları içerdiği ortaya çıktı:

Uygulamalarda tersine mühendislik tekniklerine karşı bir tedbir yok. Sonuç olarak, kötü niyetli kullanıcılar uygulamanın nasıl çalıştığını anlayabilir ve sunucu tarafı altyapısına veya arabanın multimedya sistemine erişmelerini sağlayacak bir güvenlik açığı bulabilirler.

Uygulamalarda, suçluların kendi kodlarını ekleyerek orijinal programı sahte bir sahtesiyle değiştirmelerini engelleyecek kod bütünlüğü kontrolü yok.

Kök dizine erişimi (rooting) saptama teknikleri kullanılmamış. Kök hakları, Truva atlarına neredeyse sınırsız yetenek sağlar ve uygulamayı savunmasız bırakır.

Kötü amaçlı uygulamaların kimlik avı pencereleri göstermelerine ve kullanıcıların kimlik bilgilerini çalmalarına yardımcı olan uygulama bindirme tekniklerine karşı koruma yok.

Kullanıcı adı ve parolalar düz metin olarak saklanıyor. Bu durumdan faydalanan bir suçlu, kullanıcıların verilerini kolayca çalabilir.

Bu açıklardan başarıyla faydalanan saldırganlar, arabanın kontrolünü ele geçirerek kapıların kilidini açabilir, güvenlik alarmını kapatabilir ve hatta teorik olarak aracı çalabilir de.
Herhangi bir senaryoda saldırı vektörüne ek bazı hazırlıklar gerekecektir. Örneğin, özel hazırlanmış ve kök dizine erişim sağlayacak kötü niyetli bir takım uygulamaları yüklemeleri yönünde araç sahiplerini ayartarak arabanın uygulamasına erişim elde etmek gibi. Bununla birlikte, Kaspersky Lab uzmanları, çevrimiçi bankacılık bilgileri ve başka önemli verileri hedefleyen birçok başka zararlı yazılım üzerinde yaptıkları incelemelere dayanarak, internet bağlantılı araçların sahiplerini hedefleyen ve sosyal mühendislik konusunda tecrübeli suçlular için bunun bir sorun teşkil etmeyeceğini öngörüyor.
Kaspersky Lab Güvenlik Uzmanı Victor Chebyshev, “Araştırmamızın ana sonucuna göre, mevcut durumda internete bağlı arabalar için hazırlanan uygulamalar kötü amaçlı saldırılara karşı hazır değiller. İnternete bağlanan bir otomobilde yalnızca sunucu tarafı altyapısının güvenliğini düşünmemeliyiz. Otomobil üreticilerinin bu anlamda bankaların gittiği yoldan gideceklerini öngörüyoruz. Başlangıçta, çevrimiçi bankacılık uygulamaları da araştırmamızda listelenen tüm güvenlik özelliklerine sahip değildi. Şimdi, bankacılık uygulamalarına yönelik çok sayıda saldırı vakası sonrasında bankalar ürünlerinin güvenliğini geliştirdi. Şanslıyız ki şimdiye kadar otomobil uygulamalarına karşı herhangi bir saldırı vakası tespit etmedik. Bu, araç satıcılarının hâlâ işleri doğru yapacak zamana sahip oldukları anlamına geliyor. Tabii, tam olarak ne kadar zamanları var bilinmiyor. Modern Truva atları çok esnek. Bir gün normal reklam yazılımı gibi davranabilir, ertesi gün yeni uygulamaları hedeflemelerini mümkün kılacak yeni bir konfigürasyonu kolayca indirebilirler. Saldırı yüzeyi gerçekten çok geniş.” diyor.
Kaspersky Lab araştırmacıları, araçlarını ve özel verilerini muhtemel siber saldırılardan korumaları için internete bağlı araç uygulamalarının kullanıcılarına aşağıdaki önlemleri almalarını tavsiye ediyor:

Kötü amaçlı uygulamalara neredeyse sınırsız imkanlar sağlayacağı için Android cihazınıza root işlemi yapmayın.

Resmi uygulama mağazaları dışındaki kaynaklardan uygulama yükleme olanağını devre dışı bırakın.

Yazılımdaki güvenlik açıklarını ve saldırı riskini azaltmak için cihazınızın işletim sistemi sürümünü güncel tutun.

Cihazınızı siber saldırılara karşı korumak için başarısı kanıtlanmış bir güvenlik çözümü kurun.

İnternete bağlı araçlara yönelik tehditler hakkında daha fazla bilgi edinmek için Securelist.com adresinde bulunan blog yazısını okuyabilirsiniz.

Yayınlayan

Atif Unaldi

Setting up the BBS system enabling the communication of two persons over telephone lines when he was a student at the Physics Department at the Bosphorus University, Atıf Unaldı established the first Internet connection in Turkey. He achieved a “first of its kind” type project again in Turkey by making an Internet and information program at Radio D (Radio Club) named “Farenin Kuyrugu” (The Tail of the Mouse) between 1992-1994. In 1994, he prepared, presented and produced a nightly live show,”RadyoNet”, appearing five weekdays on Kanal D. This was the first program consisted of live computer pictures from beginning to end. Atıf Unaldı was the General Director of the first Internet server in Turkey, Anadolu.Net, between 1994-1996. Being the supervisor of the World Air Games I in 1996 and 1997, he registered the sportsmen into the games over the Internet and Intranet. In 1998, he also became the Internet supervisor of the Sabah Group, and worked as a consultant in the project to sell Sabah Kitapları (Sabah Books) over the Internet. In the same year, he continued to write at his column (Yeni Ufuklar-New Horizons) in the .Net magazine, which was a publication of the Milliyet Group. In 1999, he was appointed as the webmaster in Ihlas.Net, and he also designed and administered it. In the very same year, he wrote at a column in an IT magazine, Pcweek of the Sabah Group. In the meantime, founding a web-design company, Artmedya, Unaldı prepared an Internet magazine talk show program for BRT, GeceNet, which he presented with Romina Ozipekci. Later, continuing to write in his column in the magazine, Canteen of the Aksam Group, Atıf Unaldı gave web-design lectures in the Ceramic Department of the IU. Leaving his position in Canteen upon the establishment of the Interporbil Group, Unaldı has been a columnist in the economy magazine, EkoTimes. At the moment, Atıf Unaldı is the columnist in the Computerlife magazine. He has been also a columnist in Finansal Forum newspaper every Wednesday. Being the brand consultant of Buybye.com, Unaldi produced and presented a programme, TRON, in Technology Channel. As of December 2004, becoming the IT Director of Star Media Group, Unaldi carried out the editorship of STARTEK supplement of Star newspaper. Currently being the Internet Director of Kanal D and Star Tv, Unaldi also produces the Technorock programme in Rock Fm. Being one of the founders of the group called Sitebuilders supported by Microsoft, Unaldı has been organising conferences, seminars and panels concerning “Web-design”, “mobile Internet”, “e-trade” and “advertisement in the Internet” with the group. The group has been successfully providing the persons and organisations with its free educational studies. Published Books 2006 Netizen ( Internet Dictionary ) The contests he participated as a juryman: 2002 - Altın Örümcek Web Contest 2003 - Altın Örümcek Web Contest 2004 - Grafi2000 Flash Animation Contest 2004 - Altın Örümcek Web Contest 2005 - Altın Örümcek Web Contest 2006 - Web Marketing Assotion - Web Awards His published articles: The Structuring of the Internet in the Information Society of Turkey, Yeni Turkiye Dergisi (The New Turkey Magazine), March 1998 Web-design criteria, Yıldız Technical University Publication, 1994 Conferences, Seminars and Professional Activites: 1999 - Informing the sitebuilders and e-trade and web-design seminars in Microsoft headquarters (Istanbul) 1999 - Web-design, e-trade, Media Technologies seminars within Microsoft (Ankara, Istanbul, Izmir, Konya, Antalya) 2000 - e-trade seminars within Kosgeb (Ankara) 2000 - e-trade seminars in the Fatih University (Ankara) 2000 - The Bilgi University Internet seminars (Speakers: Microsoft Turkey General Director Sureyya Ciliv, Atıf Unaldı) 2000 - Within the framework of the IT 2000 activities, e-trade and web design seminars (Istanbul) 2003 - PRCI Turkiye (Istanbul) 2003 - Wireless Forum ( İstanbul) 2003 - ODTU ( Ankara ) 2003 - Mobiliz.biz ( İstanbul ) 2004 - PRCI ( İstanbul) The softwares he translated: 1996 - Windows Commander 2000 - Babylon Internet Dictionary 2002 - Sitepublisher Softwares: 1992 - The installation of two radio automation systems (Radyo Kulup and Radyo C) (1995) 1994 - The software of two computer programs (Crossword and Puzzle) which were played with the participation of the television audience at Kanal 6 television. 1996 - The Turkish version of a program called Windows Commander 1998 - A computer software enabling the automation of the TV advertisement department The organisations he is the member of: WSP (Web Standards Project) A global organisation Sitebuilders Microsoft ASP Guilt A world organisation Isoc (Internet Society) A world organisation Mobiliz.biz Mobile Advertising Platform CehTURK