hadicanim
Aktif Üye
Birkaç güvenlik araştırmacısı, çeşitli otomobil markalarının çeşitli bileşenlerini güvenlik açısından kontrol etti ve sayısız hassas nokta buldu. Kendi ifadelerine göre, diğer şeylerin yanı sıra, araba üreticilerinin dahili çalışan verilerine erişebildiler, müşteri hesaplarını ele geçirebildiler ve bazı arabalar üzerinde tam kontrol elde ettiler.
Bunu başarmak için araştırmacılar çeşitli web portallarına ve uygulama programlama arayüzlerine (API) baktılar ve birkaç güvenlik açığı keşfettiler. Sonuçlarını bir rapor halinde derlediler.
Kilitlendi ve sürüldü
Liste, diğerlerinin yanı sıra Kia, Honda, Hyundai ve Nissan modellerini açabildiklerini ve motoru çalıştırabildiklerini gösteriyor. Kendi ifadelerine göre, bir HTTP isteğinde yalnızca araç kimlik numarasını (VIN) uç noktaya göndermeleri gerekiyordu. Bu numara birçok modelde ön camdan okunabilir.
Saldırılar, dünya çapında yaklaşık 12 milyon bağlantılı arabada kullanıldığı söylenen SiriusXM platformundaki güvenlik açıklarına dayanıyor. Araştırmacılar bunu Aralık 2022’de bildirdiler. Şimdi daha fazla sonuç yayınladılar.
Dahili bilgilere erişim
Bayi portalları gibi güvenli olmayan bir şekilde yapılandırılmış çoklu oturum açma arabirimleri nedeniyle araştırmacılar, diğer şeylerin yanı sıra Github örneklerine, dahili şirket verilerine, çalışan bilgilerine ve müşteri verilerine erişebildiklerini söylüyor. Örneğin Ferrari, Mercedes-Benz, Porsche ve Toyota’da durum böyleydi.
Örneğin güvenlik açıkları nedeniyle, BMW çalışanlarının hesaplarını sıfırlamak, hesapları devralmak ve böylece erişim elde etmek için nispeten basit HTTP isteklerini kullanabildiler. Hatta araştırmacılar Mercedes ve Rolls-Royce web portallarında kendi kodlarını çalıştırabildiler ve yüzlerce dahili araca erişim sağladılar.
Güvenlik araştırmacılarının hazırladığı rapor, otomobil üreticilerinin halihazırda güvenlik açıklarını kapatıp kapatmadığını ortaya koymuyor. Bir tweet, en azından Nissan’ın hataları düzelttiğini gösteriyor (yukarıya bakın).
(ile ilgili)
Haberin Sonu
Bunu başarmak için araştırmacılar çeşitli web portallarına ve uygulama programlama arayüzlerine (API) baktılar ve birkaç güvenlik açığı keşfettiler. Sonuçlarını bir rapor halinde derlediler.
Kilitlendi ve sürüldü
Liste, diğerlerinin yanı sıra Kia, Honda, Hyundai ve Nissan modellerini açabildiklerini ve motoru çalıştırabildiklerini gösteriyor. Kendi ifadelerine göre, bir HTTP isteğinde yalnızca araç kimlik numarasını (VIN) uç noktaya göndermeleri gerekiyordu. Bu numara birçok modelde ön camdan okunabilir.
Saldırılar, dünya çapında yaklaşık 12 milyon bağlantılı arabada kullanıldığı söylenen SiriusXM platformundaki güvenlik açıklarına dayanıyor. Araştırmacılar bunu Aralık 2022’de bildirdiler. Şimdi daha fazla sonuç yayınladılar.
Dahili bilgilere erişim
Bayi portalları gibi güvenli olmayan bir şekilde yapılandırılmış çoklu oturum açma arabirimleri nedeniyle araştırmacılar, diğer şeylerin yanı sıra Github örneklerine, dahili şirket verilerine, çalışan bilgilerine ve müşteri verilerine erişebildiklerini söylüyor. Örneğin Ferrari, Mercedes-Benz, Porsche ve Toyota’da durum böyleydi.
Örneğin güvenlik açıkları nedeniyle, BMW çalışanlarının hesaplarını sıfırlamak, hesapları devralmak ve böylece erişim elde etmek için nispeten basit HTTP isteklerini kullanabildiler. Hatta araştırmacılar Mercedes ve Rolls-Royce web portallarında kendi kodlarını çalıştırabildiler ve yüzlerce dahili araca erişim sağladılar.
Güvenlik araştırmacılarının hazırladığı rapor, otomobil üreticilerinin halihazırda güvenlik açıklarını kapatıp kapatmadığını ortaya koymuyor. Bir tweet, en azından Nissan’ın hataları düzelttiğini gösteriyor (yukarıya bakın).
(ile ilgili)
Haberin Sonu