2021 Hyundai Ioniq SEL model hibrit bir otomobile sahip olan bir hacker, yakın zamanda Google aramasıyla kendi otomobilinin bilgi-eğlence sistemini hackleyerek araca kendi geliştirdiği yazılımı yüklediğini duyurmuştu. Yugalabs’de güvenlik mühendisi olarak çalışan ödül avcısı hacker Sam Curry, 2012 yılından sonra üretilen Hyundai ve Hyundai çatısı altında bulunan Genesis marka otomobillerde yeni bir güvenlik açığı bulduklarını Twitter üzerinden yayınladığı ileti dizisiyle açıkladı.
We recently found a vulnerability affecting Hyundai and Genesis vehicles where we could remotely control the locks, engine, horn, headlights, and trunk of vehicles made after 2012.
To explain how it worked and how we found it, we have @_specters_ as our mock car thief: pic.twitter.com/WWyY6vFoAF
— Sam Curry (@samwcyo) November 29, 2022
Kilitlerin ve motorun uzaktan hacklenmesine neden olan güvenlik açığı, kolayca elde edilebilen kişisel verilerle bir dizi uygulama hatasına neden olabiliyor. Hem Hyundai hem de Genesis otomobillere ait mobil uygulamalar, kimliği doğrulanmış kullanıcıların araçlarını çalıştırmalarına, durdurmalarına, kilitlemelerine ve kilitlerini açmalarına izin veriyor.
Bir Hyundai’ye erişimi olan hacker ekibi, web uygulama güvenliğini test etme platformu olan Burp Suite aracılığıyla tüm uygulama trafiğini gizleyerek hangi API çağrılarının gerçekleştiğini görmek istedi. Ekip, sistemde zaten var olan bir e-posta adresinin sonuna satır başı ve yeni satır (CRLF) karakteri ekleyerek aracın kilidini açmak üzere bir HTTP isteği gönderebileceklerini çabuk keşfetti.
Curry, araç sahiplerinin kullanması amaçlanan mobil uygulamalarda güvenli olmayan araç verilerinin kullanımında zayıf bir nokta bulduklarını belirterek otomobillerin kilitlerini, kornasını, motorunu, farlarını ve bagaj kontrollerini kontrol etmek için kullanılan API çağrılarının kolayca kötüye kullanılabileceğini ve bilgisayar korsanlarının araca uzaktan tam erişim sağlamak için geriye dönük olarak tasarlanabileceğini söyledi. Güvenlik açığının tüm detaylarını şirkete bildirdiklerini belirten Yugalabs çalışanı, Hyundai ve SiriusXM’in güvenlik açıklarını hemen kapattığını söyledi.
Kia ve Hyundai’deki hacklenme vakaları, sosyal medya akımına dönüştü
Kia ve Hyundai’nin başı bir süredir hacklenme vakalarıyla dertte. Otomobillerde motoru çalıştırmak için anahtarlıkla eşleşmesini sağlayan bir çip olan motor immobilizatörünün 2021 öncesi araçlarda bulunmaması, basit bir USB kablo kullanılarak araçların çalıştırılabilmesine neden oluyor. Otomobilleri hackleyerek kaçırmak ABD’de öyle bir hale geldi ki, sosyal medyada “Kia Challenge” gibi TikTok trendleri oluştu. Yargıya taşınan konuyla ilgili açılan toplu davalarda ibre çok yakında iki otomobil şirketine dönebilir.
Görseller: Twitter
