Pahalı bir kızağa rağmen yama yok: Görünüşe göre BMW, araç içi eğlence sistemlerinde Pwn-My-Ride olarak adlandırılan boşluk için müşterilere herhangi bir çözüm sunmamaya karar verdi. 2025 baharında keşfedilen sorun çok büyük; Apple'ın araçlardaki AirPlay ve CarPlay yayın protokolünü etkiliyor ve tüm cihazların kontrolünü ele geçirmek için kullanılabiliyor. Apple, donanımını nispeten hızlı bir şekilde güncelledi, ancak AirPlay ve CarPlay özelliklerine sahip birçok tüketici elektroniği satıcısı ya bunu takip etmedi ya da aylar sürdü. Eylül ayında çok sayıda otomobil üreticisinin hala etkilendiği söylendi. O zamanlar hangi markaların yamalardan tamamen kaçındığı belli değildi. Bu artık yavaş yavaş netleşiyor.
Duyurudan sonra devamını okuyun
BMW uzmanları “son derece düşük” risk görüyor.
Şubat 2024'te teslim edilen BMW i3s'e sahip bir Mac&i okuyucusu, aylardır üreticiden yanıt almaya çalışıyor. Serviste ve müşteri hizmetlerinde yapılabilecek çok az şey olduğundan BMW şikayet yönetimiyle temasa geçti. Sonuç hayal kırıklığı yarattı. BMW, araçta önemli bir kusurun bulunduğunu itiraf etti (CVE-2025-24132). Ancak grup herhangi bir tehlike görmüyor.
Sızıntı “uzmanlarımız” tarafından “yayınlandıktan kısa süre sonra” kontrol edildi. Şu tespit edildi: “Bildirilen güvenlik açığı, bir saldırganın kötü amaçlı bir cihazı Bluetooth aracılığıyla aracın ana ünitesiyle aktif olarak eşleştirmesini gerektiriyor.” Bu eşleştirme işlemi, hem araç eşleştirme menüsünden doğrudan başlatmayı hem de PIN tabanlı doğrulamayı gerektiriyordu. “Bu çok adımlı süreç, kasıtsız veya izinsiz çiftleşmenin neredeyse imkansız olmasını sağlıyor [ist].” Bu “sıkı gereklilikler” göz önüne alındığında, “müşterilerimizin güvenliğine yönelik risk son derece düşük olarak değerlendirilmektedir”.
Yamalar olmadan “açıklık ve güvenlik”
Güvenlik açıklarından yararlanma “güvenlik uzmanlarımız tarafından son derece düşük derecelendirildiğinden” “araç modeliniz için başka bir yazılım güncellemesi planlanmamaktadır.” “Bu beyanın, müşteri güvenliğini korumak için uygulanan önlemlere ilişkin netlik ve güvence sağlamasını” umduğunu da sözlerine ekledi. Mac&i okuyucusu bu karara katılmıyor: “Bana göre BMW'nin davranışı müşteri sadakatine katkıda bulunmuyor.”
Gerçekten de BMW'nin kararını anlamak zor. Potansiyel bir istismardan yararlanmak, yani aracın eğlence sistemini potansiyel olarak ciddi sonuçlara yol açacak şekilde ele geçirmek için, araca fiziksel erişime sahip olmanız (bu nedenle anahtarın yanınızda olması) yeterlidir. Bağlantı, örneğin sayısız Bluetooth profilinin bulunabileceği kiralık araçlarda olduğu gibi, kullanıcı şifresi veya başka bir şekilde korunmaz. BMW başlangıçta bir basın soruşturmasına yanıt vermedi. “Pwn My Ride”, eğlence sistemine kök erişimini ve onunla birlikte gelen tüm olasılıkları içerir: sistem manipülasyonundan veri müdahalesine ve casusluğa kadar. Sorunu keşfeden Oligo şirketi, CarPlay aracılığıyla da çalışan oldukça etkileyici birkaç örnek yayınladı.
Duyurudan sonra devamını okuyun
(bsc)
Bir yanıt yazın