Kia araçlarında büyük güvenlik açığı: Hackerlar milyonlarca aracı hedef aldı

Kia'nın web portalındaki güvenlik açıkları, milyonlarca aracı riske atıyor. Araçlara uzaktan erişim sağlanabilse de, fren ve direksiyon sistemleri bu açıklarla manipüle edilemiyor.

ABD, Çin'e ait potansiyel tehdit olarak gördüğü otomotiv teknolojilerini yasaklamayı düşünürken, bir grup güvenlik araştırmacısı başka bir tehdide dikkat çekti. Wired dergisine göre, bu araştırmacılar Kia'nın bağlantılı araçlar için sunduğu web portalında kritik güvenlik açıkları tespit etti. Bu açıklar, onlarca Kia modelini etkilerken, milyonlarca aracın risk altında olabileceği belirtiliyor.

Araçlara uzaktan erişim sağlandı

Hackerlar, araç sahiplerinin akıllı telefonlarından bazı işlevlere erişmelerini sağlayan uygulamayı manipüle ederek, kendi telefonları veya bilgisayarlarına erişim sağladı. Özel bir uygulama geliştirerek, araç plakalarını tarayan hackerlar, saniyeler içinde araçların kontrolünü ele geçirdi. Araçları uzaktan çalıştırabilen, kapıları açabilen, kornayı çaldırabilen hackerlar, bu işlemleri uzaktan gerçekleştirdi.

Deneyimli güvenlik araştırmacıları

Bu güvenlik açığını tespit eden araştırmacılar, 2023'ün başında, Sam Curry liderliğindeki bu grup, BMW ve 15 farklı markanın güvenlik açıklarını tespit eden bir rapor yayımlamıştı. O dönem etkilenen markalar arasında BMW, Rolls-Royce, Porsche, Ferrari, Toyota, Hyundai, Honda, Nissan, Jaguar, Land Rover ve Ford yer alıyordu.

Curry, daha önce Tesla'da bir güvenlik açığını kanıtladığı için 10.000 dolar ödül almıştı. Curry ve ekibi, otomobil üreticilerinin güvenlik konusunda genellikle ihmalkâr olduğunu sıkça vurgulamıştı. Ekip üyesi Neiko Rivera, Wired dergisine yaptığı açıklamada, "Bu konuya ne kadar çok eğildiysek, araçlardaki internet güvenliğinin o kadar kötü olduğunu gördük" dedi.

Kia'nın yanıtı ve son durum

İyi haber şu ki, güvenlik araştırmacılarının tespit ettiği açıklar fren ve direksiyon sistemlerini etkilemiyor. Ayrıca, araçların immobilizer sistemleri de bu yöntemle devre dışı bırakılmıyor. Ancak kötü haber, yalnızca araçların değil, sahiplerine ait bazı kişisel bilgilerin de hackerlar tarafından erişilebilir olmasıydı. Araştırmacılar, bazı durumlarda araçların önceki rotalarına ve sahiplerinin telefon numaraları, adresleri gibi kişisel bilgilerine ulaşabildiklerini belirtti.

Araştırmacılar, Haziran ayında Kia ve Wired'ı bulguları hakkında bilgilendirdi. Kia, hackerlar tarafından gösterilen yönteme karşı web portalında bazı değişiklikler yaptığını duyurdu. Ağustos ayında ise bu sorunu doğruladığını ancak kalıcı bir çözüm üzerinde çalıştığını belirtti. Ancak o tarihten sonra hem hackerlarla hem de Wired ile iletişim kurmadığı bildirildi.

Bilinen bir IT güvenliği kuralı olan, firmalara güvenlik açıklarını kapatmaları için tanınan 90 günlük süre dolduğunda, araştırmacılar ve gazeteciler bulgularını kamuoyuyla paylaşmaya karar verdi.

Ancak Kia sahiplerinin bu konuda hemen endişelenmesine gerek yok. Araştırmacılar, Kia araçlarını manipüle eden uygulamayı yayımlamadı ve bunu yapmayı da düşünmediklerini açıkladı.

Dünya Haberleri