Bir araştırma ekibi, Bluetooth Düşük Enerji (BLE) saldırısı ile mevcut tüm güvenlik önlemlerini başarıyla atlatan ve hedef noktalarda kimlik doğrulaması yapabilen bir araç geliştirdi. Bu tür bir saldırı, akıllı telefonlardan akıllı kilitlere kadar her tür cihazda etkili olabilir. Araştırmacılar ise deney için Tesla markalı bir otomobili tercih etti.
Tesla araçlar ve birçok cihaz tehlike altında!
Yapılan saldırı, resmi Bluetooth gönderici ve alıcı cihazlar arasındaki sinyaller üzerinden gerçekleştiriliyor. Bu şekilde saldırgan, alıcı cihaza gönderilen verileri manipüle edebiliyor. Bu yöntemi uygulamak için gereken tek şey ise, saldırganın hem kullanıcıya hem de hedef cihaza göreceli olarak yakın olması.
Yapılan deneyde araştırmacılar Tesla uygulamasının 4.6.1-891 sürümüne sahip 2020 Tesla Model 3 ve bir iPhone 13 mini kullandılar. Deney sırasında biri telefondan yedi metre, diğeri arabadan üç metre uzaklıkta bulunan iki röle cihazı kullanıldı. Telefon ile araba arasındaki toplam mesafe ise 25 metre idi. Ve deney başarıyla sonuçlandı.
Araştırmacılar konu hakkında şu ifadelere yer verdi:
“NCC Group, iPhone, BLE menzilinin dışındayken aracın kilidini açmak ve çalıştırmak için bu yeni geliştirilmiş röle saldırı cihazını kullanabildi.
Daha sonra ekip, aynı deneyi 2021 Tesla Model Y üzerinde de başarıyla gerçekleştirdi. Araştırma ekibi deney sonuçlarını Tesla ile paylaştı. Tesla ise röle saldırılarının “pasif giriş sisteminin bilinen bir açığı” olduğunu söylemekle yetindi.
Bu tür saldırılara karşı korunmak için kullanıcılar pasif giriş sistemini devre dışı bırakabilir. Ayrıca araçlarında tercihen kullanıcı etkileşimi gerektiren alternatif bir kimlik doğrulama yöntemine kullanabilirler. Bunların yanı sıra “PIN to Drive” özelliği de aracınızın güvenliği için oldukça önemli bir nokta. Bu sayede hırsızlar aracı başarılı bir şekilde açmayı başarsalar bile, fazla uzaklaşamayacaklardır.
Peki siz Bluetooth aracılığı ile yapılabilen hırsızlıklar hakkında ne düşünüyorsunuz? Görüşlerinizi yorumlar kısmında bizimle paylaşabilirsiniz.
{{user}} {{datetime}}
{{text}}