University of Texas in San Antonio (UTSA) tarafından gerçekleştirilen araştırma, elektronik scooter’lar ile ilgili yazılımların ve uygulamaların siber güvenlik ve saklılık risklerini gözden geçiren birinci çalışma olarak betimlendi. Siber güvenlik kuruluşu ESET’in dikkatini çeken ve paylaştığı bu araştırma, riskleri azaltmak için birtakım teklifleri de içeriyor.
Hangi riskler var?
Birçok elektrikli scooter, Bluetooth Low Energy (BLE) ağ teknolojisi ve kullanıcıların sahip olduğu akıllı telefonların internet temasını kullanarak çalışıyor. Birebir vakitte da hizmet sağlayıcısına bilgi gönderiyor. Bu da muhtemel hücumlara yer hazırlıyor. Örneğin, saldırganlar yayımlanan bilgilere ulaşarak ‘ortadaki adam‘ (man in the middle) ataklarına neden olabiliyor ve bu atakları tekrarlayabiliyor. Hacker’ların, scooter’ı uzaktan ele geçirerek komutlarla kullanıcıya yahut yayalara ziyan verebilme ihtimali kelam konusu olabiliyor .
Aküsü, motoru, frenleri amaç alınabilir
Scooter’ın aküsü, motoru, frenleri, farları ve denetim çipi, fizikî bir akın sırasında gaye alınabilecek temel bileşenlerden kimileri. Saldırganlar bu temel bileşenleri değiştirerek yahut berbat niyetli modüller indirerek scooter’ları uzaktan yönetebiliyor. Saldırganlar, aracın frenlerini ve suratını uzaktan yöneterek kullanıcının yahut öteki insanların yaralanmasına neden olabilir.
Aldatıcı pozisyon
Mikro ulaştırma uygulamaları, elektrikli scooter’ların pozisyonlarını takip ettiği için, aldatıcı pozisyonlar da göz önünde tutulması gereken öbür bir tehdit. Örneğin, saldırganlar kullanıcıyı ıssız bir yere sürükleyip ona ziyan verebilir.
E-scooter yoluyla kullanıcı bilgilerine ulaşmak…
Elektronik scooter sağlayıcıları hizmetlerine abone olan kullanıcılardan çeşitli bilgiler talep ediyor. Talepleri birden fazla vakit bir kimliğin yanında fatura, irtibat ve demografik bilgiler de içeriyor. Hizmet sağlayıcıları otomatik olarak GPS ve akıllı telefonlara özel bilgiler üzere ek datalar de topluyor. Bu datalara erişimi olan saldırganlar, kullanıcıların alışkanlıkları, sık sık ziyaret ettikleri yerler ve tercih ettikleri rotalar hakkında kapsamlı bir fikir edinebiliyor. Yani aslında gizlice kullanıcıların şahsî bilgilerini toplayabiliyor.
Ne yapılmalı?
Bu risklerin birçok, en âlâ siber güvenlik uygulamalarını yürürlüğe koyarak azaltılabilir. Scooter’ları şarj eden çalışanlar, mekanik yahut elektrikli ögelerini denetim ederek hiç kimsenin scooter’larla oynamadığından emin olabilir. Kapalılık riskleri konusunda atılabilecek en uygun adımlardan biri ise uygulamalar için tasarında zımnilik yaklaşımını benimseyerek yetkili olmayan çalışanın bilgilerle ilgili olan kesimlere erişimini engellemek. Ayrıyeten bilgi trafiği kontrolü de hizmet sağlayıcılarının tehditlere gerçek vakitli reaksiyon verebilmesine yardımcı olabilir.
