Otonom ve Bağlantılı Araçlarda Güvenlik Zafiyetleri: Üretici ve Taşeron Altyapısının Zayıflıkları
Otonom ve bağlantılı araçlarda güvenlik zafiyetlerini ele alıyor; üretici ve taşeron altyapısının zayıflıklarını, riskleri ve alınması gereken önlemleri özetliyor.
Bir güvenlik denetimi, bir otomotiv üreticisinin bağlı araç ekosisteminde kritik bir güvenlik açığını ortaya koydu. İnceleme, taşeron kaynaklı uygulamalarda bulunan zayıflıklar sayesinde, telematik altyapısına yetkisiz erişimin mümkün olabileceğini gösterdi. Sızma senaryosu, özellikle taşeronun herkese açık uygulamasındaki sıfır‑gün SQL enjeksiyonu aracılığıyla kullanıcı verilerine ulaşmayı ve bazı parola politikalarının zayıf olması nedeniyle hesap güvenliğinin riske girmesini içerdi. Bu durum, üreticinin telematik ağlarına ait hassas konfigürasyon verilerini ve proje yönetim araçlarındaki bilgilere ulaşımı kolaylaştırdı.
Güvenlik uzmanları, telematik sisteminin temel işlevlerini ve araç içi güvenliğin önemini vurguluyor. Bağlı araçlarda ise yanlış yapılandırılmış güvenlik duvarı ve ele geçirilen bir servis hesabı aracılığıyla iç sunucuların internete açık hale gelebilmesi gibi tespitler, telematik altyapısında tam kontrol elde edilmesiyle sonuçlandı. En kritik bulgulardan biri, Telematik Kontrol Ünitesi’ne (TCU) özel olarak yasa dışı bir yazılım yüklenmesini sağlayan bir firmware güncelleme komutu keşfi oldu; bu sayede CAN veri yoluna erişim sağlayan yetkiler artarken, motor ve diğer kritik sistemlere müdahale mümkün hale geldi.
Güvenlik Uzmanı Artem Zinenko bu tür zafiyetlerin çoğunlukla herkese açık web servisleri, zayıf parolalar ve eksik iki faktörlü doğrulama gibi nedenlerden kaynaklandığını belirtiyor. Aynı zamanda, otomotiv alanında üçüncü taraf sistemlerinde sıkı güvenlik politikalarının uygulanmasının sürücü güvenliğini artıracağını ifade ediyor. Taşeron tarafında güvenliği yükseltmek amacıyla öneriler arasında VPN üzerinden erişim, servislerin kurumsal ağdan ayrıştırılması, parola politikalarının güçlendirilmesi ve 2FA uygulaması yer alıyor. Ayrıca hassas verilerin şifrelenmesi ve olayların gerçek zamanlı olarak izlenmesi için SIEM entegrasyonunun sağlanması da öne çıkan adımlar arasında.
Kaynaklar, güvenlik stratejisinin yalnızca üretici tarafında değil, ekipman tedarikçileri ve taşeronlar arasında da tutarlı bir şekilde uygulanması gerektiğini gösteriyor. Telematik altyapısının güvenliği için öneriler arasında, arayüzlere yalnızca gerekli işlemlerin yapılmasına olanak veren izin listelerinin kullanılması, SSH ile parola doğrulamasının devre dışı bırakılması ve tüm hizmetlerin minimum ayrıcalık ilkesiyle çalıştırılması bulunuyor. Ayrıca, TCU’ya gönderilen komutların kimlik doğrulaması ve bütünlüğünün korunması, olayların etkili bir şekilde izlenmesi için SIEM entegrasyonunun zorunlu hale getirilmesi öneriliyor.