Modern otomobiller artık tekerlekli birer bilgisayar. Birçoğu da internete bağlı. Bunun sonucunda otomobil üreticileri artık araçların yanı sıra araçları uzaktan kontrol etmeye yarayan uygulamalar da geliştiriyor. Bu uygulamalar otomobilin konumunu kontrol etmek, ısıtmayı veya klimayı önceden açmak, kapıları kilitlemek ve açmak gibi çeşitli amaçlarla kullanılabiliyor.
Ancak farklı kullanıcıların farklı ihtiyaçları olduğu için tüm özellikleri tek bir uygulamaya sığdırmak mümkün olmuyor. Bu yüzden otomobil üreticilerinin geliştirdiği yazılımların yanı sıra her zevke ve bütçeye hitap eden üçüncü taraf uygulamalar da var. Bu elbette belli bir rahatlık sağlıyor. Peki güvenli mi? Araştırmacılarımız bu konuyu araştırmaya karar verdi.
Arabanızı kim kullanıyor?
Arabanın uygulamayı kullananın siz olduğundan emin olması için uygulamaya bir kullanıcı adı ve parola girmeniz gerekiyor. Otomobil üreticisinin kendi uygulamasını kullanıyorsanız kimlik bilgileriniz üçüncü bir tarafa gönderilmiyor, bu iyi bir şey. Ayrıca otomobil üreticilerinin ve ürünlerinin karşılaması gereken belirli güvenlik standartları var.
Resmi uygulamada olmayan bazı özel özellikler için üçüncü taraf bir uygulama tercih ederseniz bu uygulama bir şekilde araca ya da aracın telemetri verilerine erişime ihtiyaç duyuyor. Bazı uygulamalar otomobil üreticisi tarafından bu amaca özel geliştirilen çözümleri kullanıyor. Araca kısıtlı erişim sunulan bu çözümler kimlik bilgilerinize gerek duymuyor. Böylece hem işlevlerini kullanabiliyorsunuz hem de kapıları açmak gibi tehlikeli şeyler yapmalarının önüne geçiliyor. Bu uygulamalar nispeten daha güvenli olsalar da sayıca azlar.
İnternet bağlantılı otomobillere yönelik çoğu uygulama, üreticideki hesabınızın kullanıcı adını ve parolasını istiyor; yani hesabınıza tam erişim elde ediyor. Üstelik, otomobil üreticileri için geçerli olan standartlar bu uygulamalar için geçerli değil. Problem de buradan çıkıyor.
Güven her şeydir
Araştırmanın odağında araç sahibinin otomobil üreticisindeki hesabını kullanan üçüncü taraf mobil uygulamalar yer alıyor. Ne yazık ki uygulama geliştiricilerin yarısından fazlası hesabı vermenin riskleri hakkında kullanıcıyı uyarmıyor. Uyaranlar ise kimlik bilgilerini ya hiç saklamayacaklarını ya da şifrelenmiş halde saklayacaklarını temin ediyor. Bazıları kullanıcı adı ve parolanın yalnızca yetkilendirme belirteci almak için gerektiğini vurguluyor. Ancak belirteç de tıpkı oturum açma bilgileriniz gibi sahip olan herkesin sizin yerinize hesabınızı kullanabilmesine olanak sağlıyor ve düzgün saklanmadığı takdirde sızabiliyor. Dahası, kimlik bilgilerinizin nasıl işlendiğini kontrol etmenizin bir yolu da yok: Ya geliştiricilere güveneceksiniz ya da uygulamayı kullanmayacaksınız.
Bunlara ek olarak, bir problem çıkması durumunda araştırmacılarımızın incelediği uygulamaların %14’ünün geliştiricisiyle iletişim kurulamadığı da ortaya çıktı: Web sitelerinde ya iletişim bilgisi yer almıyor ya da yer alan bilgiler silinmiş sosyal medya sayfalarına yönlendiriyor.
Web hizmetlerinde de durum benzer: Kullanıcı, nasıl depolanıp işleneceğini tam olarak bilmeden kimlik bilgilerini teslim ediyor. Açık kaynaklı çözümler bu açıdan daha şeffaf: Teknolojiden anlayan kullanıcılar en azından kodu inceleyebiliyor. Öte yandan teknik bir arka planı olmayan normal insanlar için bunu anlamak çok zor.
Başka bir sorun da otomobil üreticilerinin sistemlerini üçüncü taraf uygulamalara bağlayan aracı servislerin de olması. Bunlar otomobil uygulaması ve web servisi geliştiricileri tarafından kullanılsa da kullanıcıların bundan hiç haberi olmayabilir. Üstelik, aracı bir servis üstünden çalışan üçüncü taraf bir otomotiv uygulaması seçtiyseniz her ikisinin geliştiricisi de kimlik bilgilerinize sahip oluyor.
Arabanıza erişen üçüncü taraf uygulamalar: Risk tam olarak ne?
Kimlik bilgileriniz çok güvenli bir şekilde saklanmazsa davetsiz misafirler tarafından ele geçirilebilir. Bu kişiler büyük olasılıkla arabanızı çalmayı başaramazlar, ancak kapılar, pencereler, klima, korna, farlar gibi pek çok sistemi uzaktan kontrol edebilirler. Davetsiz bir misafir, siz araba sürdüğünüz sırada rastgele kornaya basmaya ve farları yakıp söndürmeye başlarsa bu oldukça tehlikeli sonuçlar doğurabilir.
Kulağa bir James Bond senaryosu gibi gelebilir: Kim size bunu yaşatmak için bu kadar uğraşsın ki? Fakat bu tür veriler herkese açık yerlere sızarsa yalnızca eğlenmek isteyen ve bunun doğurabileceği sonuçların farkında bile olmayan, dünyanın dört bir yanındaki “çevrimiçi şakacıların” eline geçebilir.
Dahası, uygulama hacklenirse saldırganlar coğrafi konum da dahil tüm toplanan verilere erişebilir. Bu da araç sahiplerinin hareketlerinin dünyanın her yerinden izlenebilmesi anlamına gelir.
Yakın zamanda yaşanan bir örnek verelim. 19 yaşındaki güvenlik uzmanı David Colombo kısa bir süre önce Tesla araçlardan telemetri verileri toplamaya, depolamaya ve görselleştirmeye yönelik TeslaMate uygulamasında tesadüfen bir güvenlik açığı keşfetti. Araç sahibinin nerede yaşadığını, arabayla nerelere ne kadar hızda gittiğini, araçların nereye park edildiğini, nerelerde şarj edildiğini ve araçlarda hangi güncellemelerin yüklü olduğunu bulmayı başardı.
Uygulama arabayı kontrol etmek için değil, yalnızca veri toplamak için tasarlanmış olsa da Colombo tüm bunları yapmayı başarbildi. Çünkü kullanıcının kimlik bilgilerini içeren depolamaya varsayılan parola ile erişilebiliyordu ve bazı bilgilere hiçbir yetkilendirme gerekmeden ulaşılabiliyordu. Colombo sorunu uygulama geliştiricilere bildirdi ve sorun hızla giderildi. Mutlu bitmesine rağmen bu hikaye üçüncü taraf araba uygulamalarının geliştiricilerin iddia ettiği kadar güvenilir olmayabileceğini gösteriyor.
O halde üçüncü taraf uygulamalar kullanmayı bırakmalı mıyım?
Bütün bunlar hiçbir koşulda asla üçüncü taraf uygulama kullanmamanız gerektiği anlamına gelmiyor. Bütün geliştiriciler kullanıcı verilerinin güvenliği konusunda kayıtsız değil. Gözlemlediğimiz kadarıyla TeslaMate’in geliştiricileri güvenlik açığı raporuna hızla yanıt vererek sorunu giderdi. Ayrıca bahsettiğimiz gibi otomobil üreticisi hesabınıza tam erişim gerektirmeyen uygulamalar da var.
Bununla birlikte, aracınızın yerel uygulamasında olmayan özellikleri kullanmak istiyorsanız uygulama seçerken dikkatli olun: Mümkünse en azından iletişim bilgilerini gizlemeyen ve şeffaflık konseptine saygı duyan güvenilir bir geliştiricinin uygulamasını tercih edin. İşlerin nasıl yürüdüğünü ve ne gibi riskler olduğunu anlayan teknoloji meraklısı kullanıcıların geri bildirimlerini ve güvenlik uzmanlarının raporlarını inceleyin.
Halihazırda üçüncü taraf bir uygulama kullanıyor ve bırakmak istiyorsanız yalnızca akıllı telefonunuzdan yüklenmesini kaldırmanın yeterli olmayabileceğini aklınızda bulundurun.
- Ayrıca abonelikten çıkmanıza veya bu servisteki hesabınızı silmenize gerek olup olmadığını kontrol edin;
- Ne olur ne olmaz, otomobil üreticisindeki hesabınızın parolasını değiştirin;
- Mümkünse otomobil üreticisinin web sitesi ya da teknik desteği üzerinden uygulamanın hesabınıza erişim iznini geri çekin.