Kaspersky Lab araştırmacıları, birçok ünlü otomobil üreticisinin internete bağlı arabalar ve araçlarının uzaktan kumandası için hazırlanan uygulamaların güvenliğini inceledi.
Uzmanlar, tüm uygulamalarda, saldırganların internete bağlı arabalar sahipleri için önemli hasara neden olmalarına olanak sağlayacak potansiyel bir takım güvenlik sorunları bulunduğunu keşfetti.
Son birkaç yılda arabalar aktif olarak internete bağlanmaya başladı. Bağlantı sadece bilgi-eğlence sistemlerini değil; aynı zamanda artık çevrimiçi olarak erişilebilen kapı kilidi ve ateşleme gibi kritik araç sistemlerini de içeriyor. Mobil uygulamaların yardımı ile aracın konum koordinatlarını ve rotasını elde etmek, kapıları açmak, motoru çalıştırmak ve ek araç içi cihazları kontrol etmek artık mümkün. Bunlar bir yandan son derece faydalı fonksiyonlar fakat üreticilerin bu uygulamaları siber saldırı risklerinden nasıl korudukları da bir soru işareti.
Buna cevap bulabilmek isteyen Kaspersky Lab araştırmacıları, büyük otomobil üreticileri tarafından geliştirilmiş olan ve Google Play istatistiklerine göre on binlerce ve bazı örneklerde de beş milyon indirilmeye kadar ulaşan 7 adet uzaktan araç kontrol uygulamasını test etti.
Araştırma sonucunda, incelenen uygulamaların her birinin çeşitli güvenlik sorunları içerdiği ortaya çıktı:
- Uygulamalarda tersine mühendislik tekniklerine karşı bir tedbir yok. Sonuç olarak; kötü niyetli kullanıcılar uygulamanın nasıl çalıştığını anlayabilir ve sunucu tarafı altyapısına veya arabanın multimedya sistemine erişmelerini sağlayacak bir güvenlik açığı bulabilirler.
- Uygulamalarda, suçluların kendi kodlarını ekleyerek orijinal programı sahte bir sahtesiyle değiştirmelerini engelleyecek kod bütünlüğü kontrolü yok.
- Kök dizine erişimi (rooting) saptama teknikleri kullanılmamış. Kök hakları, Truva atlarına neredeyse sınırsız yetenek sağlar ve uygulamayı savunmasız bırakır.
- Kötü amaçlı uygulamaların kimlik avı pencereleri göstermelerine ve kullanıcıların kimlik bilgilerini çalmalarına yardımcı olan uygulama bindirme tekniklerine karşı koruma yok.
- Kullanıcı adı ve parolalar düz metin olarak saklanıyor. Bu durumdan faydalanan bir suçlu, kullanıcıların verilerini kolayca çalabilir.
Bu açıklardan başarıyla faydalanan saldırganlar, arabanın kontrolünü ele geçirerek kapıların kilidini açabilir, güvenlik alarmını kapatabilir ve hatta teorik olarak aracı çalabilir de.
Herhangi bir senaryoda saldırı vektörüne ek bazı hazırlıklar gerekecektir. Örneğin; özel hazırlanmış ve kök dizine erişim sağlayacak kötü niyetli bir takım uygulamaları yüklemeleri yönünde araç sahiplerini ayartarak arabanın uygulamasına erişim elde etmek gibi. Bununla birlikte, Kaspersky Lab uzmanları; çevrimiçi bankacılık bilgileri ve başka önemli verileri hedefleyen birçok başka zararlı yazılım üzerinde yaptıkları incelemelere dayanarak, internet bağlantılı araçların sahiplerini hedefleyen ve sosyal mühendislik konusunda tecrübeli suçlular için bunun bir sorun teşkil etmeyeceğini öngörüyor.
Kaspersky Lab araştırmacıları, araçlarını ve özel verilerini muhtemel siber saldırılardan korumaları için internete bağlı araç uygulamalarının kullanıcılarına aşağıdaki önlemleri almalarını tavsiye ediyor:
- Kötü amaçlı uygulamalara neredeyse sınırsız imkanlar sağlayacağı için Android cihazınıza root işlemi yapmayın.
- Resmi uygulama mağazaları dışındaki kaynaklardan uygulama yükleme olanağını devre dışı bırakın.
- Yazılımdaki güvenlik açıklarını ve saldırı riskini azaltmak için cihazınızın işletim sistemi sürümünü güncel tutun.
- Cihazınızı siber saldırılara karşı korumak için başarısı kanıtlanmış bir güvenlik çözümü kurun.