Ağ bağlantılı araçlar sadece geleceğin değil, günümüzün de bir gerçeği. Her ne kadar birçok otomotiv markası bunu çeşitli seviyelerde gerçekleştirmeye uğraşıyor olsa da, asıl başarıyı yakalayan Tesla oldu. Firmanın ürettiği elektrikli otomobillere firmanın ağı üzerinden ulaşılabiliyor ve otomatik sistem güncellemeleri bile yapılabiliyor. Tesla bunun bir zayıflık yaratabileceğinin farkında ve uzun zamandır siber güvenliğe yatırım yapmakta. Ama ‘TBONE’ gibi açıklar her zaman var olacak.
Tesla siber güvenliğini geliştirebilmek amacıyla her sene ‘Pwn2Own’ isminde bir etkinlik düzenliyor. Bu hackathon yarışmasında beyaz şapkalı hackerlar Tesla araçların güvenlik sistemlerini kırmaya çalışıyorlar. Belli görevleri başarıp finalde kazananları büyük maddi ödüller ve hatta bir Tesla otomobil hediye olarak bekliyor.
Her ne kadar firma geçen seneki Pwn2Own yarışmasını salgın yüzünden iptal etmiş olsa da, iki güvenlik araştırmacısı bu yarışma için üzerinde çalıştıkları bir güvenlik açığını test edip sonra da yayımlamaya karar vermişler. Bu güvenlik açığı sayesinde bir Tesla otomobil, bir Supercharger istasyonunda şarj edilirken uçan dron aracılığı ile uzaktan hacklenebiliyor. Araştırmacılar bulgularını önce Tesla’ya sunmuş. Firma da inceleme raporları yayımlanmadan önce, Ekim 2020’de açığın kapatılması için bir yama hazırlayıp hemen dağıtmış.
Araştırmacılar TBONE adını verdikleri güvenlik açığı hakkında şu bilgileri veriyorlar:
“Kunnamon, Inc.’den Ralf-Philipp Weinmann ve Comsecuris GmbH’den Benedikt Schmotzle, Tesla otomobillerinde kullanılan açık kaynaklı bir yazılım bileşeninde (ConnMan) uzaktan erişimli bir ‘zero-click’ açığı keşfettiler. Bu açık ile park halindeki arabaların güvenliği tehlikeye atılabiliyor ve araçların bilgi/eğlence sistemi Wi-Fi üzerinden kontrol edilebiliyor. Bir saldırgan bu yöntemle kapıları ve bagaj kapağını açabilir, koltuk pozisyonlarını değiştirebilir, direksiyon ve hızlanma modlarını uzaktan değiştirebilir. Kısacası, bir sürücünün konsoldaki çeşitli düğmelere basarak yaptığı her işlem gerçekleştirilebilir. Bu yöntem saldırganlara arabanın sürüş kontrolünü sağlamıyor. TBONE olarak adlandırılan bu açık, COVID-19 nedeniyle iptal edilen Pwn2Own 2020 yarışması için hazırlanmıştı.”
İşin daha da kötüsü siber saldırganlar isterlerse bu yönteme bir başka açık daha ekleyerek, park halinde ve çalışır durumdaki bir Tesla arabasına yeni Wi-Fi aygıt yazılımı yüklüyorlar. Bu da kurbanın arabasını diğer Tesla arabalara ulaşabilecek bir erişim noktasına dönüştürebilmekte. Bahsedilen gelişmiş yöntem güvenlik açığını bir solucana dönüştürerek daha fazla zarara yol açabilir deniliyor. Açığın Tesla dışındaki başka ağ bağlantılı araçlarda da kullanılması mümkün görülmekte. Bu sebeple tüm otomotiv sektörüne gerekli uyarılar yapılmış.
