TECHNEIRO

TECHNEIRO
Siber Güvenlik

Milyonlarca Araçta Kritik Bluetooth Açığı: Hackerlar Arabanızın Kontrolünü Ele Geçirebilir!

by ibrahim0

Milyonlarca Araçta Kritik Bluetooth Açığı: Hackerlar Arabanızın Kontrolünü Ele Geçirebilir!

Siber güvenlik araştırmacıları, modern otomobillerin en temel teknolojilerinden birinde, milyonlarca aracı etkileyen bir dizi kritik güvenlik açığı keşfetti. “PerfektBlue” olarak adlandırılan bu dört yeni zafiyet, birçok büyük otomobil üreticisi tarafından kullanılan OpenSynergy BlueSDK Bluetooth yığınını (stack) hedef alıyor. Başarılı bir şekilde istismar edildiğinde, bu açıklar bir saldırganın hedef aracın bilgi-eğlence sisteminde uzaktan kod yürütmesine (Remote Code Execution – RCE) olanak tanıyarak, potansiyel olarak çok daha tehlikeli saldırıların kapısını aralıyor.

PCA Cyber Security tarafından yapılan açıklamaya göre, bu zafiyetlerden etkilendiği doğrulanan markalar arasında Mercedes-Benz, Volkswagen ve Skoda gibi devler bulunuyor. Ayrıca, ismi açıklanmayan dördüncü bir büyük otomobil üreticisinin de risk altında olduğu belirtildi.

Saldırı Nasıl Çalışıyor? Tek Tıkla Uzaktan İstismar

Bu saldırıyı özellikle tehlikeli kılan şey, gerçekleştirilmesinin görece basit olması. Bir saldırganın bu zafiyet zincirini kullanabilmesi için tek gereken, hedef aracın Bluetooth menzili içinde olması ve kendi cihazını aracın bilgi-eğlence (infotainment – IVI) sistemiyle eşleştirebilmesidir. Bu, temelde “tek tıkla” tetiklenebilen ve havadan (over-the-air) gerçekleştirilebilen bir istismar anlamına geliyor.

PCA Cyber Security, “Bu sınırlama, BlueSDK’in bir çerçeve yapısı olması nedeniyle uygulamaya özgüdür. Dolayısıyla, eşleştirme süreci farklı cihazlar arasında farklı görünebilir: sınırlı/sınırsız eşleştirme isteği, kullanıcı etkileşiminin varlığı/yokluğu veya eşleştirmenin tamamen devre dışı bırakılması gibi,” diye ekliyor.

Risk Ne Kadar Büyük? Motor Kontrolü Mümkün mü?

Bir saldırgan, aracın IVI sisteminde kod çalıştırma yetkisi elde ettiğinde, potansiyel olarak şunları yapabilir:

  • GPS koordinatlarını anlık olarak takip etme.
  • Araç içindeki mikrofonları kullanarak ortamı dinleme.
  • Telefon rehberine ve diğer kişisel verilere erişme.

En endişe verici senaryo ise, saldırganın IVI sistemini bir sıçrama tahtası olarak kullanarak, aracın daha kritik sistemlerine yanal hareket (lateral movement) yapmasıdır. Bilgi-eğlence sistemleri genellikle aracın motor, fren gibi kritik kontrol ünitelerinden izole edilmiş olsa da, bu izolasyonun ne kadar güçlü olduğu her üreticinin kendi tasarımına bağlıdır. Eğer bu ağ segmentasyonu zayıfsa, bir saldırgan potansiyel olarak aracın motor gibi hayati yazılım fonksiyonlarının kontrolünü ele geçirebilir.

Bu tür bir saldırının bir örneği, araştırmacıların bir Nissan Leaf‘e Bluetooth üzerinden sızıp, ardından aracın kritik sistemlerini yöneten CAN veriyoluna erişerek aynaları, silecekleri, kapı kilitlerini ve hatta direksiyonu kontrol edebildikleri Black Hat Asia konferansında sunulmuştu.

Üreticilerden Açıklama ve “Ama”lar

Haberin ardından Volkswagen, The Hacker News’e bir açıklama göndererek, tespit edilen sorunların sadece Bluetooth ile ilgili olduğunu ve aracın güvenliğini veya bütünlüğünü etkilemediğini belirtti. Şirket, bir saldırganın başarılı olabilmesi için aynı anda birkaç koşulun karşılanması gerektiğini vurguladı:

  • Saldırganın araca en fazla 5-7 metre mesafede olması.
  • Aracın kontağının açık olması.
  • Aracın bilgi-eğlence sisteminin eşleştirme modunda olması (yani kullanıcının aktif olarak bir cihaz eşleştirmeye çalışıyor olması).
  • Kullanıcının, saldırganın Bluetooth erişimini ekran üzerinden aktif olarak onaylaması.

Volkswagen, bu koşullar sağlansa bile saldırganın sadece ses fonksiyonlarına erişebileceğini ve direksiyon, fren gibi sistemlere müdahalenin mümkün olmadığını savundu. Şirket, bu güvenlik açığını yazılım güncellemeleriyle kapattığını ve kullanıcıların bu güncellemeleri mutlaka yapması gerektiğini, bazı durumlarda ise servise gitmenin gerekebileceğini ekledi.

Tespit Edilen Zafiyetler

PerfektBlue saldırı zincirini oluşturan dört ana zafiyet şunlardır:

  • CVE-2024-45434: AVRCP servisinde “Kullanım Sonrası Serbest Bırakma” hatası.
  • CVE-2024-45431: L2CAP kanalının uzak CID’sinin hatalı doğrulanması.
  • CVE-2024-45433: RFCOMM’da hatalı fonksiyon sonlandırma.
  • CVE-2024-45432: RFCOMM’da hatalı parametre ile fonksiyon çağırma.

Modern araçların giderek daha fazla bağlantılı hale gelmesi, onları siber saldırılar için de daha cazip bir hedef haline getiriyor. “PerfektBlue” gibi zafiyetler, en basit kablosuz teknolojilerin bile ne kadar ciddi güvenlik riskleri barındırabildiğini gösteriyor. Araç sahiplerinin, üreticiler tarafından yayınlanan yazılım güncellemelerini düzenli olarak yapması, kendilerini ve araçlarını korumak için atabilecekleri en önemli adımdır.

Siz aracınızın yazılım güncellemelerini düzenli olarak yapıyor musunuz? Bağlantılı araç teknolojilerinin getirdiği güvenlik riskleri hakkında endişeleriniz var mı? Düşüncelerinizi yorumlarda bizimle paylaşın!

Otomotiv siber güvenliği ve en son teknoloji tehditleri hakkındaki haberler için techneiro.com‘u takip etmeye devam edin!

İlgili Gönderiler

Jack Dorsey’in Yeni Uygulaması Bitchat, Güvenlik Skandalıyla Başladı!

ibrahim

Tor Ağı Güvenlik Güncellemesi: Counter Galois Onion Protokolü Nedir?

ibrahim

Yeni Kâbus: Terapistler, Hastalarının Sırlarını Gizlice ChatGPT’ye mi Anlatıyor?

ibrahim

Bir Yorum Bırakın

Bir sonraki yorumumda kullanılmak üzere adımın, e-posta adresimin ve internet sitemin bu tarayıcıda kaydedilmesini sağla.