Uygulamayı hackle, bedava arabayı kap
Arabaların güvenlik sistemlerinin uygulama kullanımının olgunlaşmasına daha çok vakit var gibi duruyor. Geçtiğimiz hafta San Francisco’da yapılan RSA bilgi güvenliği konferansında bu durum gayet net şekilde anlaşılmış oldu.
Araç güvenliğiyle ilgili iki farklı sunumda uygulamalarla güvenliği sağlanan arabaların ne kadar kolay hacklenerek uzaktan kontrol edilebildiği hatta çalınabildiği gösterildi. Bunun temelinde tek bir sebep var, buda araba güvenliği ile ilgili uygulamayı hazırlayan kişilerin çok öneli bir noktayı kaçırması. Bir arabanın satılıp ikinci bir sahibi olabileceği.
RSA güvenlik konferansında konuşan IBM’in Red lideri Charles Henderson sunumu sırasında bir türlü kurtulamadığı bir arabasından bahsetti. Bahsi geçen arabayı satmasına ve yerine yenisini almasına rağmen eski arabasını uygulaması sayesinde hala kontrol edebildiği ifade etti. Kendisi de bir hacker olduğu için arabasını satarken kişisel bilgilerini mümkün olduğunca sert şekilde araçtan temizlediğini ve bütün ayarlarını fabrika ayarlarına döndürdüğünü anlatan Henderson, bütün hesapları da arabanın kontrol edebilme yetkisini kaldırdığını belirtti. Yeni arabasını aldıktan sonra eski aracın hala mobil uygulama üzerinde listelendiğini farkeden Henderson, eski aracın listeden kalmasını beklemeye başladığını söyledi.
Eski arabanı kontrol et
İşler bu noktadan sonra karışmaya başlamış. Zira üzerinden iki yıl geçmesine rağmen Henderson’ın eski aracı arabayı kontrol etmeye yarayan uygulamanın listesinden düşmemiş. Henderson, “üzerinden tam 4 yıl geçmesine rağmen bugün hala arabanın kontrollerine ulaşabiliyorum. Eğer kötü niyetli biri olsaydım arabayı kolaylıkla çalabilirdim” dedi.
Profesyonel bir bug (yazılım hatası) avcısı olan Henderson, mobil uygulamanın kodlarına bakmaktan kendini alıkoyamadığını belirtti. Sistemi inceleyen uzman, uygulamaların sadece araçların birinci sahibi akılda olarak tasarlandığını keşfetti. Yani bir araba sanki bir daha hiç satılmayacakmış gibi.
Henderson, dört farklı büyük otomobil üreticisinin uygulamasının test ettiğini bildirdi ve her uygulamanın araçların önceki sahiplerine arabaların kontrolünü verdiğini ifade etti. Bu markaların hangileri olduğunu açıklamayan Henderson, bununla birlikte eski kullanıcıları bu uygulamalardan sadece üretici firmaların kaldırabildiğini keşfetmiş oldu.
Birçok uygulama güvenlik açığına sahip
Konferansın ikinci gününde ise Mikhail Kuzin ve Victor Chebyshev’in hazırladığı sunumda Android için geliştirilmiş yedi popüler araç uygulamasını güvenlik açısından incelendi. Sonuçta bütün uygulamalarda ciddi güvenlik açıkları olduğu saptandı. Uzman ikili bütün uygulamaların “şifrelenmemiş kişisel bilgiler” kullandığını keşfetti. Bununla birlikte uygulamanın tersine mühendislik ve kötü amaçlı yazılımlara karşı yeterli önlem almadığını ve bunlara çok açık olduğunu ifade etti.
Kuzin ve Chebyshev yaptığı keşifleri detaylandırarak buldukları güvelik açıkları sayesinde, “isteyen kişi bu uygulamaları alabilir, istedikleri şekilde değiştirebilir ve bu şekilde sunarak potansiyel hedefleri arasında yayabilir” dedi.
Peki bu yolla gerçekten bir arama çalmak mümkün olabilir mi? Bu noktadaki en önemli şey arabanın anahtarı. Çünkü anahtar olmadan arabanın çalışması ve ilerlemesi mümkün değil. Uzmanlar, araba hırsızlar araçların içerisine girdikten sonra arabaya yeni bir anahtar yazdıklarını ve bu şekilde arabayı çalıştırabildiklerini belirtti.
Buradan çıkarılacak en önemli sonuç; ikinci el araba alırken uygulama kullanıyorsa bir bayiye gidip sıfırlatın.
