UC San Diego ve Northeastern Üniversitesi’ndeki bilgisayar bilimcileri, Shimano Di2 sistemini başarıyla hackledikten sonra kablosuz dişli setlerinin önceden düşünüldüğü kadar güvenli olmadığını keşfettiler.
Araştırmacılar, sinyal bozucuları ve yazılım tanımlı radyolar olarak bilinen cihazları kullanarak, istenmeyen vardiyaları uzaktan uygulayabildiler ve bir grup çalışanı tamamen işsiz bıraktılar.
Aralarında Maryam Mutalibegumi, Erlins Fernandes ve Anghan Ranganathan’ın da bulunduğu üçlü, bulgularının Tour de France gibi büyük yarışlarda haksız avantaj elde etmek amacıyla kötü niyetle kullanılabileceğini söylüyor.
“Kablosuz vites değiştirme sistemlerindeki güvenlik açıkları, özellikle profesyonel bisiklet sürüşlerinde sürücülerin güvenliğini ve performansını ciddi şekilde etkileyebilir.” Kağıt “Bu yarışlarda saldırganlar, bu güvenlik açıklarından haksız bir avantaj elde etmek için yararlanabilir, vites değiştirme işlemlerini manipüle ederek veya vites değiştirme sürecine müdahale ederek potansiyel olarak kazalara veya yaralanmalara neden olabilir.”
Araştırmada araştırmacılar, pazar lideri olarak nitelendirilen Japon markası Shimano’yu analiz etmeyi tercih ederek, 105 Di2 ve Dura-Ace Di2 grup setlerine odaklandı.
Shimano’nun kablosuz protokolünün “kara kutu analizi” sayesinde üç önemli güvenlik açığını keşfettiler.
Bunlardan ilki, anahtarsız araçları veya kablosuz garaj kapısı açıcılarını hacklemek için kullanılan teknolojiye benzer şekilde, saldırganın vites değiştirme komutlarını yakalayıp yeniden iletmesine olanak tanıyan tekrar saldırılarını önleyecek mekanizmaların bulunmamasıydı.
İkincisi, saldırganın Shimano protokolüyle aynı frekansta “gürültü” yayınlamasına olanak tanıyan, yakındaki diğer bisikletleri etkilemeden belirli bir bisiklette vites değiştirmeyi devre dışı bırakan, sinyal bozucu duyarlılığı hedef alıyordu.
Üçüncü keşif, ANT+ iletişimlerinin kullanılmasının bilgi sızıntısına yol açarak saldırganların hedeflenen bisikletten telemetri verilerini incelemesine olanak sağlamasıydı.
Araştırmacıların kullandığı mevcut kurulum (yazılım tanımlı radyo (SDR) ve dizüstü bilgisayar) boyut veya taşınabilirlik açısından optimize edilmemiş olsa da, teknolojideki ilerlemelerin bu saldırıları gerçek dünya senaryolarında daha uygulanabilir hale getirebileceği konusunda uyarıyorlar.
“Minyatürleştirme teknolojisi ve entegre devrelerdeki ilerlemelerle, saldırı cihazının boyutunu önemli ölçüde azaltmak mümkün hale geldi” diye açıklıyorlar. “Özel devreler tasarlayarak, bir alıcıyı, sinyali depolamak için makul miktarda belleği ve bir vericiyi bir çip (SoC) veya küçük devre kartı üzerindeki tek bir kompakt sistemde birleştirebiliriz. Bu minyatürleştirme işlemi, saldırı sistemini oluşturur. daha kompakttır ve taşınabilirliğini ve dağıtım kolaylığını artırır.”
Bisikletçilerin dikkatsiz rakiplerine karşı kullanmak üzere ceplerinde hackleme cihazları taşıdığını görmek hâlâ pek mümkün değil, ancak araştırmacılar bisikletteki dopingin tarihiyle paralellikler kuruyor ve bisikletçilerin hile yapma motivasyonlarını karşılaştırıyor.
“Profesyonel bisiklet sporunun, yasa dışı performans artırıcı ilaçların kullanımıyla uzun ve sorunlu bir geçmişi var. Bisikletin en önemli bileşenlerinden birindeki güvenlik açıkları, sporun bütünlüğünü tehlikeye atmak isteyen insanlar için cazip bir alternatif yaklaşım olarak görülebilir.”
“Ayrıca, performans artırıcı ilaçların kullanımının aksine, saldırılarımız fark edilebilir bir iz bırakmıyor.”
Devam etmek
Araştırmacılar şu anda güvenlik açıklarını düzeltmek için Shimano ile birlikte çalıştıklarını söylüyorlar. Japon şirketi bu iddiayı doğruladı ve Shimano’daki bir tanıdığı, şirketin “makalelerini konferansta sunmadan önce” araştırmacılarla birlikte çalıştığını söyledi.
Markanın konuyla ilgili resmi açıklaması şöyle başladı: “Shimano, tüm sürücüler için Di2 radyo iletişiminin güvenliğini artırmak amacıyla araştırmacılarla çalıştı.”
“Bu işbirliği sayesinde Shimano mühendisleri, Di2 kablosuz iletişim sistemlerinin güvenliğini artırmak için yeni bir ürün yazılımı güncellemesi belirleyip oluşturabildiler.”
Shimano ayrıca güncellemelerin profesyonel ekiplere sunulduğunu ve bunu tüketici odaklı bir ürün yazılımı yamasının takip edeceğini de sözlerine ekledi.
“Ürün yazılımı güncellemesi hâlihazırda kadın ve erkek profesyonel yarış takımlarının kullanımına sunuldu ve Ağustos ayı sonlarında tüm düzenli bisikletçilerin kullanımına sunulacak. Bu sürümle birlikte sürücüler, E-TUBE Cyclist akıllı telefonunu kullanarak arka vites değiştiricide bir ürün yazılımı güncellemesi gerçekleştirebilecek. App. Güncelleme süreci ve sürücülerin Di2 sistemlerini yakında güncellemek için atabilecekleri adımlar hakkında daha fazla bilgi.
Bisiklet Haberleri Ayrıca hem Shimano’ya hem de SRAM’a, rekabetçi kazanç elde etmek amacıyla bisiklet grup setlerinin hacklenmesine ilişkin gerçek dünyadan herhangi bir vakanın farkında olup olmadıklarını sordu, ancak şu ana kadar ikisi de yanıt vermedi.
/cdn.vox-cdn.com/uploads/chorus_asset/file/24401977/STK071_ACastro_apple_0001.jpg "Apple Music artık oynatma listelerini kolayca YouTube Music’e aktarmanıza olanak tanıyor")
