يمكن اختراق ملايين المركبات وتتبعها بفضل خطأ بسيط في موقع الويب
في يناير 2023، نشروا النتائج الأولية لعملهم، وهي مجموعة هائلة من ثغرات الويب التي تؤثر على كيا، وهوندا، وإنفينيتي، ونيسان، وأكورا، ومرسيدس بنز، وهيونداي، وجينيسيس، وبي إم دبليو، ورولز رويس، وفيراري – والتي اكتشفوا جميعها وقد أبلغت شركات صناعة السيارات. وكتبوا أنه بالنسبة لستة شركات على الأقل، فإن أخطاء الويب التي وجدتها المجموعة توفر مستوى معينًا على الأقل من التحكم في الميزات المتصلة بالسيارات، تمامًا كما حدث في أحدث اختراق لشركة كيا. ويقولون إن آخرين سمحوا بالوصول غير المصرح به إلى البيانات أو التطبيقات الداخلية للشركات. لا يزال آخرون يستهدفون برامج إدارة الأسطول لمركبات الطوارئ وكان بإمكانهم حتى منع تلك المركبات من العمل، كما يعتقدون – على الرغم من أنهم لم يكن لديهم الوسائل اللازمة لاختبار هذه الخدعة التي يحتمل أن تكون خطرة بأمان.
يقول كاري إنه اكتشف في يونيو من هذا العام أن تويوتا يبدو أنها لا تزال تعاني من خلل مماثل في بوابتها الإلكترونية، بالإضافة إلى بيانات اعتماد الوكيل المسربة التي وجدها عبر الإنترنت، والتي كانت ستسمح بالتحكم عن بعد في ميزات سيارات تويوتا ولكزس مثل التتبع، وفتح القفل، والتزمير، والإشعال. لقد أبلغ عن هذه الثغرة الأمنية لشركة Toyota وأظهر لـ WIRED رسالة تأكيد عبر البريد الإلكتروني يبدو أنها توضح أنه كان قادرًا على إعادة تعيين نفسه للتحكم في ميزات Toyota المستهدفة عبر الويب. لم يقم كاري بتصوير مقطع فيديو لتقنية القرصنة الخاصة بشركة تويوتا قبل إبلاغ شركة تويوتا بها، وسرعان ما قامت الشركة بتصحيح الخطأ الذي كشف عنه، حتى أنها أوقفت بوابتها على الإنترنت مؤقتًا لمنع استغلالها.
كتب متحدث باسم تويوتا إلى WIRED في يونيو: “نتيجة لهذا التحقيق، قامت تويوتا على الفور بتعطيل بيانات الاعتماد المخترقة وتقوم بتسريع التحسينات الأمنية للبوابة، بالإضافة إلى تعطيل البوابة مؤقتًا حتى اكتمال التحسينات”.
المزيد من الميزات الذكية، والمزيد من الأخطاء الغبية
يقول ستيفان سافاج، أستاذ علوم الكمبيوتر في جامعة كاليفورنيا في سان فرانسيسكو، إن العدد غير العادي من نقاط الضعف في مواقع شركات صناعة السيارات التي تسمح بالتحكم عن بعد في المركبات هو نتيجة مباشرة لضغط الشركات لجذب المستهلكين – وخاصة الشباب – من خلال الميزات التي تدعم الهواتف الذكية. دييغو الذي كان فريقه البحثي أول من اخترق توجيه السيارة ومكابحها عبر الإنترنت في عام 2010. “بمجرد ربط ميزات المستخدم هذه بالهاتف، هذا الشيء المتصل بالسحابة، يمكنك إنشاء كل هذا السطح الهجومي الذي لم يكن عليك القيام به يقول سافاج: “لا تقلق بشأن ما قبل”.
ومع ذلك، كما يقول، فهو مندهش من انعدام الأمان لجميع التعليمات البرمجية المستندة إلى الويب التي تدير هذه الميزات. ويقول: “من المخيب للآمال بعض الشيء أن يكون من السهل استغلالها كما كانت من قبل”.
يقول ريفيرا إنه لاحظ بشكل مباشر أثناء عمله في مجال الأمن السيبراني للسيارات أن شركات السيارات غالبًا ما تركز بشكل أكبر على الأجهزة “المضمنة” – المكونات الرقمية في بيئات الحوسبة غير التقليدية مثل السيارات – بدلاً من أمن الويب، ويرجع ذلك جزئيًا إلى أن تحديث تلك الأجهزة المضمنة يمكن أن يكون صعبًا. أكثر صعوبة بكثير وتؤدي إلى عمليات التذكير. يقول ريفيرا: “كان من الواضح منذ أن بدأت أن هناك فجوة صارخة بين الأمن المضمن وأمن الويب في صناعة السيارات”. “هذان الأمران يختلطان معًا في كثير من الأحيان، لكن الناس لديهم خبرة فقط في أحدهما أو الآخر.”
ويأمل سافاج من جامعة كاليفورنيا في سان دييغو أن يساعد عمل الباحثين في مجال اختراق سيارات كيا في تغيير هذا التركيز. يقول إن العديد من تجارب القرصنة المبكرة رفيعة المستوى التي أثرت على الأنظمة المدمجة في السيارات، مثل عملية استحواذ شركة جيب عام 2015 واختراق إمبالا عام 2010 التي أجراها فريق سافاج في جامعة كاليفورنيا سان دييغو، أقنعت شركات صناعة السيارات بأنهم بحاجة إلى إعطاء أولوية أفضل للأمن السيبراني المدمج. والآن تحتاج شركات السيارات إلى التركيز على أمن الويب أيضًا، حتى لو كان ذلك يعني، كما يقول، تقديم تضحيات أو تغييرات في عملياتها.
“كيف تقرر: “لن نقوم بشحن السيارة لمدة ستة أشهر لأننا لم نمر عبر رمز الويب؟” يقول: “هذا أمر صعب البيع”. “أود أن أعتقد أن هذا النوع من الأحداث يجعل الناس ينظرون إلى هذا القرار بشكل كامل.”