Bir akıllı aracın içerisinde birden fazla risk olduğunu belirten StrixEye Kurucusu Ömer Çıtak, “Ben bir akıllı aracı siber saldırı yöntemiyle bir şekilde zarara uğratmak istiyorsam sadece iki ihtimalim var. Birinci olarak sinyal bazlı ataklarda bulunabilirim. İkinci olarak IoT bazlı ataklarda bulunabilirim” dedi.
RF sinyalleriyle çalışan bir aracın sadece kumandadan sinyal aldığını dile getiren Ömer Çıtak, bu sebeple sinyal bazlı ataklarla “kapıyı aç, kapıyı kapat, bagajı aç, camları kapat” gibi bir kumanda ile ne yapılabiliyorsa onun yapılabileceğini söyledi.
IoT bazlı ataklarda ise her şeyin yapılabileceğini ifade eden Çıtak, bir araç kiralama şirketinin mobil uygulamasında buldukları bir zafiyete değindi. Çıtak, “Bu mobil uygulamadaki kullanıcı adının geçerli olması yeterli. Yani ‘Siz kimsiniz? Sizin arka tarafta neye yetkiniz var? Başka insanların araçlarını görmeye yetkiniz var mı?’ kimse sormuyor. Biz bunu keşfettikten sonra şöyle bir istekte bulunduk. Bir araç ID’si verip, bana onun kapılarının durumunu ver dediğimde, o aracın kapılarının durumunu görebiliyorum. Ben bir aracın üzerine tıkladığım zaman bu aracın üzerinde yapabileceğim bir takım eylemler var. Bunlardan bir tanesi bloke. Biz bunu güvenlik sebebiyle sadece kendi kiraladığımız araçta 32 kilometreye kadar bir hızla giderken yaptık. Kendi kiraladığımız aracı başka bir insanın kullanıcı adı ile 32 kilometreye kadar hızla giderken bloke diyerek o aracın içerisindeki elektronik aksanın kontağı kapatmasını sağladık. Ben bu uygulamayı kullanan milyon tane aracı tek tuşla 120 kilometre hızla gidiyor olsa bile kapatabiliyorum” diyerek IoT bazlı ataklarda nelerin mümkün olabileceğini anlattı.
VİDEO: 387
BAŞLIK: Otomotiv Siber Güvenliği
KONUŞMACI: Ömer Çıtak – StrixEye Kurucusu
ETKİNLİK: 6. e-Safe Siber Güvenlik Zirvesi
TARİH: 17 Mart 2022, Perşembe
YER: Bilgi Teknolojileri ve İletişim Kurumu – Ankara
