İnternet bağlantılı otomobiller kullanıcılarına başta daha fazla bilgi ve araç fonksiyonlarını uzaktan kontrol etme becerisi olmak üzere pek çok avantaj sunuyor. Ne var ki her zaman olduğu gibi yeni fırsatlar yeni tehditleri de beraberinde getiriyor. Bu otomobillerden bazıları, yalnızca otomobil üreticileri tarafından değil üçüncü taraf şirketler tarafından da bağlı otomobil sahiplerine yönelik geliştirilen çok sayıda servis ve uygulamayla ilişkilendiriliyor. Meslektaşlarımız kısa süre önce bu tür popüler uygulamaları ve servisleri inceleyerek bilgi güvenliğiyle ilgili temel eksiklerini tanımladı. Bu çalışmanın sonuçları Securelist blogumuzda yayınlandı. Raporda uygulamaların eksikleri son kullanıcı açısından açıklanıyor. Ancak bu çalışmadan çıkarılan dersler yazılım geliştiricileri de ilgilendiriyor.
Bağlı otomobil uygulamalarında yaygın görülen kusurlar
Uygulamaların hatırı sayılır bir kısmı, araç sahibi ile otomobil üreticisinin servisi arasında bir tür aracı görevi görüyor. Çoğunlukla bu hizmetler için oturum açma bilgileri ve parola (ya da bir yetkilendirme belirteci) istiyorlar. Diğer bir deyişle, otomobil sahipleri yazılım geliştiricilere arabalarının dijital anahtarını teslim ediyor. Üstelik her kullanıcı bunun farkında değil. Bu uygulamalarda yaygın görülen kusurları ana hatlarıyla özetledik.
Şeffaflık eksikliği
Geliştiricilerle son kullanıcılar arasındaki ilişkide en önemli şey güven. Bu yüzden kullanıcıyı,
- uygulamanızın orijinal servisteki bir müşteri hesabını kullandığı;
- bu kimlik bilgilerini saklamadığınız (ya da şifrelenmiş olarak sakladığınız);
- yetkilendirme belirtecinin de bir dizi araç işlevine erişim sağladığı;
- kullanıcının bu uygulamayı kullanarak ilave risk olasılığını kabul etmiş olduğu hakkında açık ve net bir şekilde bilgilendirmek büyük önem taşıyor.
Geliştiricilerle iletişim kanalı eksikliği
Yazılım geliştiricilerin kullanıcı geri bildirimi için açık bir kanal bırakması yaygın görülen bir uygulamadır. Elbette ücretsiz uygulamaların yazarlarının 7/24 teknik destek vermesi beklenemez. Fakat bağlı otomobilin kullanımına müdahale edebilecek uygulamalar söz konusu olduğunda en azından aracın veya sürücünün güvenliğiyle ilgili beklenmedik koşullar için bir iletişim kanalı bulunması gerekiyor.
İşbirliğinin yanlış sonlandırılması
Bir müşteri uygulamanızı kaldırdığında bunun arkasında yatan sebebi bilemezsiniz. Belki artık hizmetinize ihtiyaçları kalmamıştır, belki de yalnızda cihazlarını değiştirmek istemişlerdir. Birinci durumda kullanıcıya aboneliği iptal etmesini ve/veya hesabını silmesini hatırlatmak faydalı olabilir. Ayrıca otomobil üreticisindeki hesaplarının parolasını değiştirmelerini ya da yetkilendirme belirtecini geri çekmelerini önermek de iyi olacaktır. Bu hem kullanıcının güvenliği ve gizliliğiyle ilgili kaygılarınızı gösterir hem de sizi gereksiz sorumluluklardan kurtarır.
Uygulama güvenliği hakkında daha fazla ipucu
Hiç kimse siber suçluların kendi uygulaması üstünden son kullanıcının otomobiline saldırmasını istemez. Bu yüzden uzmanlarımız, akıllı otomobil uygulaması geliştirenlerin müşterilerini veya kendilerini tehlikeye atmamak için bazı önlemler almasını öneriyor. İşte pratik birkaç ipucu:
- Çalışma zamanında uygulama kontrolü, dağıtım öncesi güvenlik açığı tarama, kapsayıcıların rutin güvenlik incelemesi ve üretim yapıtlarının kötü amaçlı yazılımlara karşı test edilmesi yoluyla yazılım geliştirme sürecinde güvenliği sağlayabilecek çözümler benimseyin.
- Uygulamanın kendi içinde güvenlik mekanizmaları uygulayın.
- Hemen kullanıma uygun çözümleri piyasaya sürmeden önce güvenlik denetiminden geçirin.