University of Texas in San Antonio (UTSA) tarafından gerçekleştirilen araştırma, elektronik scooter’lar ile ilgili yazılımların ve uygulamaların siber güvenlik ve saklılık risklerini gözden geçiren birinci çalışma olarak betimlendi. Siber güvenlik kuruluşu ESET’in dikkatini çeken ve paylaştığı bu araştırma, riskleri azaltmak için kimi teklifleri de içeriyor.
Hangi riskler var?
Birçok elektrikli scooter, Bluetooth Low Energy (BLE) ağ teknolojisi ve kullanıcıların sahip olduğu akıllı telefonların internet irtibatını kullanarak çalışıyor. Tıpkı vakitte da hizmet sağlayıcısına data gönderiyor. Bu da mümkün akınlara taban hazırlıyor. Örneğin, saldırganlar yayımlanan datalara ulaşarak ‘ortadaki adam‘ (man in the middle) taarruzlarına neden olabiliyor ve bu taarruzları tekrarlayabiliyor. Hacker’ların, scooter’ı uzaktan ele geçirerek komutlarla kullanıcıya yahut yayalara ziyan verebilme ihtimali kelam konusu olabiliyor .
Aküsü, motoru, frenleri amaç alınabilir
Scooter’ın aküsü, motoru, frenleri, farları ve denetim çipi, fizikî bir taarruz sırasında amaç alınabilecek temel bileşenlerden kimileri. Saldırganlar bu temel bileşenleri değiştirerek yahut berbat niyetli modüller indirerek scooter’ları uzaktan yönetebiliyor. Saldırganlar, aracın frenlerini ve suratını uzaktan yöneterek kullanıcının yahut diğer insanların yaralanmasına neden olabilir.
Aldatıcı pozisyon
Mikro ulaştırma uygulamaları, elektrikli scooter’ların pozisyonlarını takip ettiği için, aldatıcı pozisyonlar da göz önünde tutulması gereken öbür bir tehdit. Örneğin, saldırganlar kullanıcıyı ıssız bir yere sürükleyip ona ziyan verebilir.
E-scooter yoluyla kullanıcı bilgilerine ulaşmak…
Elektronik scooter sağlayıcıları hizmetlerine abone olan kullanıcılardan çeşitli bilgiler talep ediyor. Talepleri birden fazla vakit bir kimliğin yanında fatura, irtibat ve demografik bilgiler de içeriyor. Hizmet sağlayıcıları otomatik olarak GPS ve akıllı telefonlara özel bilgiler üzere ek bilgiler de topluyor. Bu bilgilere erişimi olan saldırganlar, kullanıcıların alışkanlıkları, sık sık ziyaret ettikleri yerler ve tercih ettikleri rotalar hakkında kapsamlı bir fikir edinebiliyor. Yani aslında gizlice kullanıcıların ferdî bilgilerini toplayabiliyor.
Ne yapılmalı?
Bu risklerin birçok, en iyi siber güvenlik uygulamalarını yürürlüğe koyarak azaltılabilir. Scooter’ları şarj eden çalışanlar, mekanik yahut elektrikli ögelerini denetim ederek hiç kimsenin scooter’larla oynamadığından emin olabilir. Kapalılık riskleri konusunda atılabilecek en iyi adımlardan biri ise uygulamalar için tasarında zımnilik yaklaşımını benimseyerek yetkili olmayan işçinin bilgilerle ilgili olan modüllere erişimini engellemek. Ayrıyeten bilgi trafiği kontrolü de hizmet sağlayıcılarının tehditlere gerçek vakitli reaksiyon verebilmesine yardımcı olabilir.
Hürriyet
