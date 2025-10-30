Kaspersky, bir otomotiv üreticisinin tüm bağlı araçlarına yetkisiz erişim sağlanmasına imkan veren ciddi bir güvenlik açığını ortaya çıkardı.

Şirketten yapılan açıklamaya göre, modern araçlarda telematik sistem teknolojisi, bağlı araçlardan hız, konum ve benzeri verilerin toplanmasını, iletilmesini, analiz edilmesini ve güvenli bir şekilde kullanılmasını sağlıyor.

Kaspersky'nin araştırması, bir taşeronun herkese açık uygulamasındaki "sıfır-gün" güvenlik açığından yararlanarak araç telematik sistemde kontrolün ele geçirilmesinin mümkün olduğunu ve bu durumun, sürücü ile yolcuların fiziksel güvenliğini tehlikeye atabildiğini gösterdi.

Güvenlik denetimini uzaktan gerçekleştiren Kaspersky, üreticinin herkese açık servisleri ile taşeronun altyapısını hedef aldı ve bu kapsamda birden fazla açık internet servisi tespit etti. Kullanıcıların içerik oluşturmasına, düzenlemesine ve yönetmesine imkan veren internet tabanlı bir platformda bulunan sıfır-gün "SQL enjeksiyon açığı" sayesinde, araştırmacılar taşeron tarafındaki kullanıcıların şifre karmalarına erişebildi. Bazı şifreler ise zayıf parola politikaları nedeniyle kolayca tahmin edildi. Bu ihlal, üreticinin telematik altyapısına dair hassas yapılandırma bilgilerini içeren taşeronun sorun takip sistemine erişim sağladı. Sistemdeki bir dosyada, üreticinin araç telematik sunucularından birine ait kullanıcı şifre karmaları da tespit edildi.

Bağlı araç tarafında ise Kaspersky, yanlış yapılandırılmış bir güvenlik duvarı nedeniyle iç sunucuların internete açık hale geldiğini tespit etti. Daha önce ele geçirilen bir servis hesabı şifresi kullanılarak sunucunun dosya sistemine erişildi ve başka bir taşerona ait kimlik bilgileri bulundu. Bu durum, telematik altyapısı üzerinde tam kontrol sağlanmasına yol açtı.

Araştırmacılar, Telematik Kontrol Ünitesi'ne (TCU) değiştirilmiş donanım yazılımı (firmware) yüklemeye olanak tanıyan bir firmware güncelleme komutu da keşfetti. Bu durum, motor ve sensörler gibi araç içi kritik bileşenleri birbirine bağlayan sistem CAN (Controller Area Network) veri yoluna erişim sağladı. Bu erişimin ardından aracın motor, şanzıman gibi çeşitli diğer sistemlerine de ulaşıldı.

Söz konusu güvenlik açığı aracılığıyla araç hareket halindeyken vites değiştirmeye zorlanabiliyor veya motor kapatılabiliyor. Tayland'da düzenlenen Security Analyst Summit 2025'te de paylaşılan bulgular, otomotiv sektöründeki potansiyel siber güvenlik zafiyetlerini gözler önüne sererken, daha güçlü güvenlik önlemlerinin alınması gerekliliğini ortaya koydu.

Kaspersky, otomotiv üreticilerine yönelik kritik güvenlik önlemi tavsiyelerini de paylaştı. Bu önlemler arasında, telematik platform erişiminin araç ağının diğer bölümlerinden ayrıştırılması, ağ etkileşimlerinde yalnızca izin verilen işlemlere olanak tanıyan "İzin Listeleri"nin (allowlist) kullanılması ve "Güvenli Kabuk Parola Doğrulaması"nın (SSH) devre dışı bırakılması yer alıyor. Ayrıca, tüm servislerin minimum ayrıcalık ilkesiyle çalıştırılması, TCU gönderilen komutların kimlik doğrulamasının ve bütünlüğünün garanti altına alınması ve güvenlik olaylarının gerçek zamanlı takibi için Güvenlik Bilgisi ve Olay Yönetimi Sistemleri (SIEM) ile entegrasyonun sağlanması öneriliyor.

"Sık rastlanan sorunlardan kaynaklanıyor"

Açıklamada görüşlerine yer verilen Kaspersky ICS CERT Güvenlik Açığı Araştırma ve Değerlendirme Başkanı Artem Zinenko, bu güvenlik açıklarının, herkese açık ağ servisleri, zayıf şifreler, iki faktörlü doğrulamanın eksikliği ve şifrelenmemiş hassas veri depolama gibi otomotiv sektöründe sık rastlanan sorunlardan kaynaklandığını belirtti.

Zinenko, "Tek bir taşeron zafiyeti, tüm bağlı araçların güvenliğini tehdit edebilir. Otomotiv sektörü, özellikle üçüncü taraf sistemlerde sağlam siber güvenlik uygulamalarını önceliklendirmeli ve sürücüleri korumalı." değerlendirmesinde bulundu.