Bir güvenlik araştırmacısı yaptığı açıklamada, bir otomobil üreticisinin çevrimiçi bayi portalındaki açıkların, müşterilerinin kişisel bilgilerini ve araç verilerini ifşa ettiğini, bunun da bilgisayar korsanlarının uzaktan araçlara girmesine olanak sağladığını söyledi.
Yazılım şirketi Harness’ta güvenlik araştırmacısı olarak çalışan Ethan Zweare, keşfettiği açığın, ismi açıklanmayan otomobil üreticisinin merkezi web portalına “sınırsız erişim” sağlayan bir yönetici hesabı oluşturulmasına olanak tanıdığını söylüyor.
Bu erişim sayesinde kötü niyetli bir bilgisayar korsanı, otomobil üreticisinin müşterilerinin kişisel ve finansal verilerini görüntüleyebilir, araçları takip edebilir ve müşterileri, sahiplerinin veya bilgisayar korsanlarının araçlarının bazı fonksiyonlarını her yerden kontrol etmelerine olanak tanıyan özelliklere kaydedebilir.
Zweare, sorunlu web portalına sahip şirketin adını açıklamıyor ancak şirketin, birkaç popüler alt markası olan, yaygın olarak bilinen bir otomobil üreticisi olduğunu belirtiyor.
Zweare, Pazar günü Las Vegas’ta düzenlenen Def Con güvenlik konferansındaki konuşmasından önce verdiği röportajda, çalışanlara ve çalışanlara müşteri ve araç bilgilerine geniş erişim sağlayan bu bayi sistemlerindeki güvenlik açıklarına dikkat çekti.
Daha önce otomobil üreticilerinin müşteri ve araç yönetim sistemlerindeki hataları bildiren Zweare, en son hatayı bu yılın başlarında keşfetti. Portalın giriş sistemindeki güvenlik açıklarının tespit edilmesinin zor olduğunu, ancak bu açıkların nihayetinde giriş mekanizmasını tamamen atlatarak yeni bir “ulusal yönetici” hesabı oluşturmasına olanak sağladığını söylüyor.
Kusurlar sorunluydu çünkü kusurlu kod, portalın giriş sayfası açıldığında kullanıcının tarayıcısına yükleniyor ve bu da kullanıcının (bu durumda Zweare) uygulamaya giriş yaparken güvenlik kontrollerini atlatmak için kodu değiştirmesine olanak tanıyordu.
“ARABALARINIZ UZAKTAN AÇILABİLİYOR”
Zveare, otomobil üreticisinin geçmişte bu güvenlik açığından yararlanıldığına dair bir kanıt bulamadığını, bu nedenle açığı ilk keşfeden ve şirkete bildiren kişinin kendisi olduğunu söyledi.
Zweare, hesabına giriş yaptığında ABD’deki 1.000’den fazla otomobil üreticisinin bayisine erişim sağladığını iddia ediyor.
Zweare, erişimi anlatırken, “Kimse sizin tüm bu bayilerin verilerine, tüm finansal durumlarına, tüm kişisel eşyalarına, tüm potansiyel müşterilerine sessizce baktığınızı bile bilmiyor,” dedi.
Zweare’nin bayi portalında keşfettiği şeylerden biri de portala giriş yapanların söz konusu markanın aracına ait araç ve sürücü verilerini aramasına olanak tanıyan ulusal bir kullanıcı arama aracı.
Gerçek hayattan bir örnekte, Zweare, halka açık bir otoparktaki bir aracın ön camından benzersiz araç kimlik numarasını alıp, aracın sahibini tespit etmek için kullandı. Aracın, bir kişiyi yalnızca adı ve soyadını kullanarak aramak için kullanılabileceğini iddia ediyor.
Portala erişim sağlayan bir bilgisayar korsanının mobil hesabı olan herhangi bir araca bağlanması ve bir uygulama üzerinden aracın bazı işlevlerini uzaktan kontrol edebilmesi, örneğin aracın kilidini açabilmesi mümkün.
Zweare, bunu bir arkadaşının hesabı üzerinden ve onun izniyle pratikte test ettiğini iddia ediyor. Zweare tarafından kontrol edilen bir hesaba mülkiyet devri yapılırken, portal yalnızca bir sertifika talep ediyor; bu da hesabı devreden kullanıcının meşru olduğuna dair bir taahhüt.
“Benim amacım, bir arkadaşımın arabamı almayı kabul etmesini sağlamaktı,” diyor, Zweare. “Ama [portal] bunu, sadece adını bilerek herkes için yapabilirdi ki bu beni biraz korkutuyor – ya da otoparklarda bir araba arayabilirim.”
Tetiklenip tetiklenemeyeceğini henüz test etmedi ancak bu açığın hırsızlar tarafından kötüye kullanılabileceğini, örneğin araçlara girip eşya çalmak için kullanılabileceğini iddia ediyor.
Söz konusu otomobil üreticisinin portalına erişimde bir diğer önemli sorun, aynı portala bağlı diğer bayilerin sistemlerine tek oturum açma yoluyla erişilebilmesidir. Bu özellik, kullanıcıların tek bir oturum açma kimlik bilgileriyle birden fazla sisteme veya uygulamaya giriş yapmalarına olanak tanır.
Zveare, otomobil üreticilerinin bayilere yönelik sistemlerinin birbiriyle bağlantılı olduğunu, bu nedenle bir sistemden diğerine geçişin kolay olduğunu açıklıyor.
Portalda ayrıca yöneticilerin diğer kullanıcıları “taklit etmesine” olanak tanıyan bir özellik de bulunuyor ve bu sayede yöneticiler, oturum açma kimlik bilgilerini doğrulamadan diğer bayilerin sistemlerine erişim sağlayabiliyor.
Benzer bir özellik 2023 yılında bir Toyota bayi portalında keşfedildi. Zweare, kullanıcı tanıtım özelliğinden bahsederken, “Bunlar sadece gerçekleşmeyi bekleyen güvenlik kabusları,” diyor.
Zweare, portalda müşterilere ait kişisel verilerin, bazı finansal bilgilerin ve ülke genelindeki kiralık araç veya servis araçlarının gerçek zamanlı konum takibini sağlayan telematik sistemlerin yer aldığını tespit etti.
Hataların otomobil üreticisine bildirilmesinden kısa bir süre sonra, Şubat 2025’te giderilmesi yaklaşık bir hafta sürdü.
Zweare, “Özetle, ‘kapıyı açan sadece iki basit API açığı var ve her zaman kimlik doğrulamayla ilgili,'” diyor. “Eğer yanlış yaparsanız, her şey altüst olur.”
