Mercedes, Volkwagen Skoda'da büyük Bluetooth tehlikesi: Konumunuzu görüyorlar, sesinizi dinliyorlar!
BT güvenlik uzmanları milyonlarca Alman otomobilinin eğlence sistemlerinde kritik bir güvenlik açığını ortaya çıkardı. Söz konusu açık Mercedes-Benz, Volkswagen ve Skoda araçlarını etkiliyor ve bilgisayar korsanlarının Bluetooth aracılığıyla araç bilgisayarlarına sızmasına olanak tanıyor.
Teknoloji portalı "BleepingComputer"ın haberine göre PCA Cyber Security araştırma ekibi, BlueSDK adı verilen ve yaygın olarak kullanılan bir Bluetooth sisteminde dört güvenlik açığı keşfetti. Bu sistem OpenSynergy şirketinden geliyor ve çok sayıda araç eğlence sisteminde kullanılıyor.
Saldırı için kullanıcı onayı gerekiyor
Rapora göre, başarılı bir saldırı için birkaç koşulun yerine getirilmesi gerekiyor. Saldırgan aracın hemen yakınında olmalı, en fazla 5 ile 7 metre uzakta. Buna ek olarak, kontak açık olmalı ve eğlence sistemi eşleştirme modunda olmalı.
Ancak belirleyici faktör, araç sahibinin saldırganın cihazıyla bağlantı kurulmasına aktif olarak rıza göstermesi gerektiğidir. Volkswagen, başarılı bir saldırı durumunda bile bilgisayar korsanlarının kritik araç işlevlerine müdahale edemeyeceğini vurguladı.
Kritik araç fonksiyonları korunmaya devam ediyor
Ayrıca, güvenlik açığı sadece eğlence sistemini etkiliyor. "BleepingComputer", üreticiye göre direksiyon, frenler veya motor kontrolü gibi önemli araç fonksiyonlarının manipüle edilemeyeceğini yazıyor. Bu sistemler kendi güvenlik önlemlerine sahip ayrı kontrol üniteleri üzerinde çalışıyor.
Buna rağmen bir saldırgan eğlence sistemine erişmeyi başarırsa, teorik olarak aracın konumunu izleyebilir, mikrofonları dinleyebilir veya iletişim verilerini okuyabilir. Araştırmacılar saldırı yöntemlerini Mercedes-Benz, Volkswagen ve Skoda'nın eğlence sistemleri üzerinde başarıyla gösterdiler.
Yamalar zaten mevcut
OpenSynergy güvenlik açıklarını Eylül 2024'te kapattı ve ilgili güncellemeleri otomobil üreticilerine dağıttı. Araştırmacılar, üreticilere yamaları dağıtmaları için yeterli zaman tanımak amacıyla keşiflerini şimdi kamuoyuna duyurdular.
Güvenlik araştırmacıları ayrıca adı açıklanmayan dördüncü bir otomobil üreticisinde de güvenlik açığı keşfetti. Şirketin karşı önlemler almak için henüz yeterli zamanı olmadığından, bu üreticinin adını Kasım 2025'e kadar kamuoyuna açıklamak istemiyorlar.
Araç sahipleri, şüpheli eşleştirme taleplerini reddederek ve ihtiyaç duyulmadığında Bluetooth işlevini devre dışı bırakarak kendilerini koruyabilirler. Ayrıca araçlarının en son yazılım güncellemelerine sahip olduğundan emin olmalıdırlar.
ARTI49