Markalar siber güvenlikten de sorumlu

Küresel bir otomotiv üreticisinin bağlı araçlarında bulunan güvenlik açığı, saldırganların araçlara uzaktan erişerek motoru kapatma, vites değiştirme ve hassas verileri ele geçirme imkânı verdi. Artık otomobil üreticileri sadece motor ve şasi güvenliğinden değil, siber güvenlikten de sorumlu. Sürücüler ise internete bağlı her cihazda olduğu gibi, ‘dijital hijyeni’ korumak zorunda.

Kaspersky, modern araçlarda kullanılan telematik sistemleri hedef alan ve bir otomotiv üreticisinin tüm bağlı araçlarına yetkisiz erişim sağlayabilen ciddi bir güvenlik açığı tespit etti. Araştırma kapsamında, üreticinin taşerona ait herkese açık bir uygulamasında bulunan sıfır-gün SQL enjeksiyon açığı kullanılarak sistemin derinliklerine ulaşıldı. Kaspersky araştırmacıları, bu açıklığın kullanıcı şifre karmalarına erişmelerine imkân verdiğini, zayıf parola politikaları nedeniyle bazı hesapların kolayca ele geçirilebildiğini belirtti. Bu ihlal, üreticinin telematik altyapısına ilişkin hassas yapılandırma dosyalarının bulunduğu destek sistemine de kapı araladı.

Yanlış yapılandırılmış güvenlik duvarı kritik erişim sağladı

Bağlı araçlardaki incelemede ise güvenlik duvarının hatalı yapılandırılması sonucunda iç sunucuların internete açık olduğu tespit edildi. Ele geçirilen servis hesabı sayesinde sunucunun dosya sistemine erişildi ve başka bir taşerona ait kimlik bilgileri bulundu. Böylece telematik altyapı üzerinde tam kontrol mümkün hale geldi.

Firmware üzerinden CAN veri yoluna erişildi

Araştırmacılar, Telematik Kontrol Ünitesi’ne (TCU) manuel olarak değiştirilmiş donanım yazılımı (firmware) yüklemeye imkân tanıyan bir komut keşfetti. Bu sayede, motor ve sensörler gibi araç içi kritik bileşenleri birbirine bağlayan sistem CAN (Controller Area Network) veri yoluna erişilerek motor, şanzıman ve kritik sensörler dahil birçok sisteme müdahale edilebileceği ortaya çıktı. Bu erişim, saldırganların aracı hareket hâlindeyken vites değiştirmeye zorlayabileceğini veya motoru kapatabileceğini gösteriyor. Bulgular, Tayland’da düzenlenen Security Analyst Summit 2025’te de paylaşıldı.

‘Tek bir taşeron, tüm araç filosunu riske sokabilir’

Kaspersky ICS CERT Güvenlik Açığı Araştırma ve Değerlendirme Başkanı Artem Zinenko, otomotiv sektöründe benzer güvenlik hatalarının yaygın olduğunu belirterek şu uyarıda bulundu: “Açık ağ servisleri, zayıf şifreler, iki faktörlü doğrulamanın eksikliği ve şifrelenmemiş veri depolama hâlâ büyük risk oluşturuyor. Tek bir taşeron zafiyeti bile tüm bağlı araçların güvenliğini tehlikeye atabilir.”

Kaspersky’den üreticilere kritik öneriler

Şirket, otomotiv sektörüne yönelik bir dizi güvenlik önlemi tavsiye etti:

– Telematik platformun, araç ağıyla tam ayrıştırılması

– Yalnızca izin verilen işlemleri kabul eden allowlist sistemlerinin kullanılması

– SSH parola doğrulamasının devre dışı bırakılması

– Tüm servislerde minimum ayrıcalık ilkesi

– TCU komutlarının kimlik doğrulama ve bütünlük kontrolü

– SIEM entegrasyonu ile gerçek zamanlı tehdit takibi

Türkiye’deki sürücülere uzman uyarısı: Araç artık bir bilgisayar; tedbir şart

– Araç uygulamalarında güçlü ve benzersiz şifre kullanın: Basit parolalar, taşeron uygulamalar üzerinden bile ele geçirilebilir.

– İki faktörlü doğrulamayı (2FA) varsa mutlaka açın.

– Aracın resmi mobil uygulamasını güncelleyin: Güncellemeler en kritik güvenlik yamalarını içerir.

– Bilinmeyen mobil uygulamalara araç erişimi vermeyin.

– Servis veya bakım sırasında araca USB cihaz takılmasına izin vermeyin: Fiziksel erişim, zayıf noktaları artırabilir.

– Aracın Wi-Fi veya Bluetooth bağlantısını kullanmadığınızda kapatın.

– Yetkili servis dışında firmware (yazılım) yüklenmesine izin vermeyin.