Tesla Araçlarda Büyük Güvenlik Açığı

Tesla Arabaları Üçüncü Taraf Yazılım Kullanılarak Hacklendi

Bir siber güvenlik araştırmacısının tespitine göre Tesla araçlarından veri toplamak için kullanılan üçüncü taraf bir yazılım olan TeslaLogger içerisinde TeslaLogger örneklerine yetkisiz erişim elde etmek için kullanılabilecek güvenli olmayan varsayılan ayarlardan yararlanan bir güvenlik açığı mevcut.

Tesla arabaları için açık kaynaklı bir veri kaydedici olan TeslaLogger’da bir araştırma sırasında denk gelinen güvenlik açığına şu şekilde erişiliyor:

TeslaLogger, Docker kullanılarak dizüstü bilgisayara yüklendikten sonra, MariaDB veritabanında (bağlantı noktası 3306), Graphana görselleştirme aracında (bağlantı noktası 3000) ve bir yönetici panelinde (bağlantı noktası 8888) çalışan hizmetleri tanımlamak için de nmap‘i kullanılıyor.

Proje deposunda bulunan varsayılan kimlik bilgilerini kullanarak veritabanına bağlanmak için DBweaver‘dan yararlanılıyor ve Tesla araba API anahtarını çıkarma amacıyla, ‘cars’ tablosundan tüm verileri almak için bir SQL sorgusu yürütülüyor.

Tesla’nın API’si Rol Tabanlı Erişim Kontrolü (RBAC) kullanıyor olsa da Tesla loglama uygulamaları sıklıkla aşırı izinler talep ederek saldırganların arabanın durumunu değiştirmek için API anahtarını kullanmasına olanak tanıyor (ör. sürücü eklemek, kapıların kilidini açmak, klima kontrol etmek).

API anahtarlarını elde etmek için alternatif yöntemler mevcut olduğundan, veritabanı kullanıma sunulmasa bile bu sorun devam edebilir. Raspberry Pi cihazlarındaki belirli Tesla kaydedici uygulamaları, API anahtarını ihmalkar bir şekilde açığa çıkararak sorunu daha da kötüleştiriyor.

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir