Kia’nın Güvenlik Açığı, Hackerların Plaka Numaralarını Kullanarak Araçların Kontrolünü Ele Geçirmesine İzin Veriyor

Bir son araştırma, Kia’nın internete bağlı sistemlerinde bir güvenlik açığı ortaya çıkardı ve milyonlarca aracı potansiyel bir saldırıya maruz bıraktı.

Bağımsız güvenlik araştırmacıları, bir Kia aracının plakasına sahip olmanın, araca izinsiz şekilde girebileceğinizi ve kapıları kilitleme, konumu takip etme ve hatta kontağı çalıştırma gibi ana fonksiyonlar üzerinde kontrol sahibi olabileceğinizi keşfetti – ve bu işlem sadece birkaç saniye sürüyor.

Araştırmacılar, daha önce çeşitli otomobil üreticilerinde benzer zafiyetler tespit etmiş olan bu ekibin, bu konuda Haziran ayında Kia’ya uyarıda bulunduğunu belirtti. Şirket bir düzeltme uygulamasına rağmen, sorunun tamamen çözülmediği görülüyor.

“Bu konuyu ne kadar çok incelediysek, araçların web güvenliğinin çok zayıf olduğu o kadar açıkça ortaya çıktı,” diye belirtti Neiko Rivera, bu keşfin içinde yer alan araştırmacılardan biri, WIRED tarafından rapor edildiği gibi.

Araştırmaları sırasında, araştırmacılar Kia’nın işlettiği bir web portalında bir zafiyet buldular. Bu kusur, onlara çoğu modern Kia aracının internete bağlı özelliklerini kontrol etme imkanı sağladı.

Etkilenen modeller, yollardaki milyonlarca aracı temsil ediyor. Bu zafiyeti kullanarak, araştırmacılar araç sahibinin akıllı telefonundan kontrolü kendi cihazlarına aktarabiliyorlardı.

Araştırma ekibinin diğer bir üyesi olan Sam Curry’ye göre, bu hata bir hacker’ın bir kişinin hareketlerini izlemesine olanak sağlayabilir.

“Eğer biri sizi trafikte kesti ise, plakalarını tarayabilir ve istediğiniz zaman onların nerede olduğunu bilebilir ve arabalarına sızabilirsiniz,” diye Curry, WIRED’a anlattı.

“Eğer bunu Kia’nın dikkatine getirmeseydik, esasen birinin plakasını sorgulayabilen herkes onları takip edebilirdi.”

Araştırmacılar, yöntemlerini farklı Kia araçlarda, kiralık otomobiller ve bayi stoklarındaki araçlar dahil olmak üzere test ettiler ve bunun genel olarak etkili olduğunu doğruladılar.

Bu zafiyetlerin ne kadar kolaylıkla istismar edilebileceğini göstermek için, araştırmacılar kullanıcı dostu bir gösterge paneli oluşturdular.

Bu araç, kullanıcıların bir plaka numarası girmesine ve sahibinin kişisel bilgilerini almasına olanak sağladı, bu da bir saldırganın bir aracı nasıl ele geçirebileceğini ve kontrolü nasıl sağlayabileceğini gösterdi.

Gösterge paneli, plaka numarasını araç kimlik numarasına (VIN) dönüştüren bir form içeriyordu. Bir “Ele Geçirme” butonu, araca erişim kazanmak için bir dizi adımı gerçekleştirdi.

Ayrıca, başka bir buton sahibin kişisel bilgilerini gösteriyordu. Son olarak, bir “Garaj” sekmesi, saldırganın ele geçirilen araçlarda komutları çalıştırabilmesini sağlıyordu.

WIRED, otomobil üreticilerinin web sitelerindeki sayısız güvenlik açığının, tüketicileri akıllı telefonla etkinleştirilen özelliklerle çekme çabasından kaynaklandığını vurguluyor. Bu açıklar, araçların uzaktan kontrolünü mümkün kılıyor.

UC San Diego’da bilgisayar bilimleri profesörü olan Stefan Savage, WIRED tarafından belirtildiği üzere, bu özelliklerin entegrasyonunun güvenlik risklerini artırdığını vurguluyor.