Bir otomobil üreticisinin web portalındaki güvenlik açıkları, bir bilgisayar korsanının herhangi bir yerden otomobillerin kilidini uzaktan açmasına olanak sağladı

Bir güvenlik araştırmacısı, bir otomobil üreticisinin çevrimiçi bayi portalındaki açıkların, müşterilerinin özel bilgilerini ve araç verilerini ifşa ettiğini ve bilgisayar korsanlarının müşterilerinin araçlarına uzaktan girmesine olanak sağlamış olabileceğini söyledi.

Yazılım dağıtım şirketi Harness'ta güvenlik araştırmacısı olarak çalışan Eaton Zveare, TechCrunch'a yaptığı açıklamada, keşfettiği açığın, ismi açıklanmayan otomobil üreticisinin merkezi web portalına "sınırsız erişim" sağlayan bir yönetici hesabı oluşturulmasına olanak sağladığını söyledi.

Kötü niyetli bir bilgisayar korsanı, bu erişim sayesinde otomobil üreticisinin müşterilerinin kişisel ve finansal verilerini görüntüleyebilir, araçları takip edebilir ve müşterileri, sahiplerinin veya bilgisayar korsanlarının araçlarının bazı fonksiyonlarını her yerden kontrol etmelerine olanak tanıyan özelliklere kaydedebilir.

Zveare, satıcının ismini açıklamayı planlamadığını ancak bunun çok sayıda popüler alt markası olan, yaygın olarak bilinen bir otomobil üreticisi olduğunu söyledi.

Zveare, Pazar günü Las Vegas'ta düzenlenen Def Con güvenlik konferansındaki konuşması öncesinde TechCrunch'a verdiği röportajda, söz konusu hataların, çalışanlarına ve çalışanlarına müşteri ve araç bilgilerine geniş erişim sağlayan bayi sistemlerinin güvenliğini gözler önüne serdiğini söyledi.

Daha önce otomobil üreticilerinin müşteri sistemlerinde ve araç yönetim sistemlerinde hatalar bulan Zveare, TechCrunch'a yaptığı açıklamada, bu açığı bu yılın başlarında bir hafta sonu projesi kapsamında bulduğunu söyledi.

Portalın giriş sistemindeki güvenlik açıklarını bulmanın zor olduğunu, ancak bulduğunda bu açıkların kendisine yeni bir "ulusal yönetici" hesabı oluşturma olanağı sağlayarak giriş mekanizmasını tamamen atlatmasına olanak sağladığını söyledi.

Kusurlar, portalın giriş sayfasını açarken kullanıcının tarayıcısına yüklenen hatalı kod nedeniyle sorunluydu ve bu da kullanıcının (bu durumda Zveare) giriş güvenlik kontrollerini atlatmak için kodu değiştirmesine olanak tanıyordu. Zveare, TechCrunch'a yaptığı açıklamada, otomobil üreticisinin geçmişte herhangi bir istismara dair kanıt bulamadığını ve bunu ilk bulan ve otomobil üreticisine bildiren kişinin kendisi olduğunu söyledi.

TechCrunch'a konuşan kullanıcı, hesaba giriş yapıldığında ABD genelindeki 1.000'den fazla otomobil üreticisinin bayisine erişim sağlandığını söyledi.

Zveare, erişimi anlatırken, "Kimse sizin tüm bu bayilerin verilerine, tüm finansallarına, tüm özel bilgilerine, tüm ipuçlarına sessizce baktığınızı bile bilmiyor," dedi.

Zveare, bayi portalında bulduğu şeylerden birinin, portala giriş yapan kullanıcıların söz konusu otomobil üreticisinin araç ve sürücü verilerini aramasına olanak tanıyan ulusal bir tüketici arama aracı olduğunu söyledi.

Gerçek dünyadan bir örnekte, Zveare, halka açık bir otoparktaki bir aracın ön camından aracın benzersiz kimlik numarasını aldı ve bu numarayı aracın sahibini tespit etmek için kullandı. Zveare, aracın yalnızca bir müşterinin adını ve soyadını kullanarak birini aramak için kullanılabileceğini söyledi.

Zveare, portala erişim sayesinde herhangi bir aracın mobil hesapla eşleştirilmesinin de mümkün olduğunu, bu sayede müşterilerin araçlarının bazı işlevlerini bir uygulama üzerinden uzaktan kontrol edebilmelerine, örneğin araçlarının kilidini açabilmelerine olanak sağlandığını söyledi.

Zveare, bunu gerçek hayatta bir arkadaşının hesabını kullanarak ve onun izniyle denediğini söyledi. Zveare'nin kontrolündeki bir hesaba mülkiyeti devrederken, portalın yalnızca hesap transferini gerçekleştiren kullanıcının meşru olduğuna dair bir onay -yani bir nevi serçe parmak sözü- gerektirdiğini belirtti.

Zveare, TechCrunch'a verdiği demeçte, "Benim amacım, arabasını devralmama izin veren bir arkadaşımla görüştüm ve bunu yaptım," dedi. "Ama [portal], sadece adını bilerek -ki bu beni biraz korkutuyor- herkese bunu yapabilirdi veya otoparkta bir araba arayabilirdim."

Zveare, araçla uzaklaşıp uzaklaşamayacağını test etmediğini ancak bu açığın hırsızlar tarafından örneğin araçlara girip eşya çalmak için kullanılabileceğini söyledi.

Bu otomobil üreticisinin portalına erişimde karşılaşılan bir diğer önemli sorun, kullanıcıların tek bir oturum açma kimlik bilgileriyle birden fazla sisteme veya uygulamaya giriş yapmalarına olanak tanıyan bir özellik olan tek oturum açma özelliği aracılığıyla aynı portala bağlı diğer bayilerin sistemlerine erişilebilmesiydi. Zveare, otomobil üreticisinin bayilere yönelik sistemlerinin birbirine bağlı olduğunu, bu nedenle bir sistemden diğerine geçmenin kolay olduğunu söyledi.

Bununla birlikte, portalın, oluşturduğu kullanıcı hesabı gibi yöneticilerin diğer kullanıcıları "taklit etmesine" olanak tanıyan bir özelliğe de sahip olduğunu ve bu sayede, diğer bayi sistemlerine, o kullanıcıymış gibi, oturum açma bilgilerine ihtiyaç duymadan erişebildiğini söyledi. Zveare, bunun 2023'te keşfedilen bir Toyota bayi portalında bulunan bir özelliğe benzediğini söyledi.

Zveare, kullanıcı taklit etme özelliği hakkında, "Bunlar sadece gerçekleşmeyi bekleyen güvenlik kabusları" dedi.

Zveare, portala girdiğinde kişisel olarak tanımlanabilir müşteri verileri, bazı finansal bilgiler ve kiralık veya ikame araçların gerçek zamanlı konum takibini sağlayan telematik sistemler buldu, ayrıca araçların ülke çapında gönderilmesini ve bunları iptal etme seçeneğini buldu - ancak Zveare bunu denemedi.

Zveare, hataların otomobil üreticisine bildirilmesinin ardından Şubat 2025'te yaklaşık bir hafta içinde giderildiğini söyledi.

Zveare, "Önemli olan şu ki, kapıları açan sadece iki basit API açığıydı ve bu her zaman kimlik doğrulamayla ilgiliydi," dedi. "Bunları yanlış yaparsanız, her şey mahvolur."