اكتشف خبراء كاسبرسكي لاب، بعدما أجروا اختبارًا على أمن تطبيقات التحكم عن بُعد للسيارات باختيار عينات لعدد من أشهر مصنعي السيارات، بأن جميع التطبيقات تحتوي على عدد من المشكلات الأمنية التي قد تتيح للمجرمين إلحاق أضرار فادحة بأصحاب السيارات المتصلة بالإنترنت.
وأشارت الشركة الروسية الرائدة في مجال أمن المعلومات إلى أنه خلال السنوات القليلة الماضية، بدأ انتشار ظاهرة السيارات المتصلة بالإنترنت على نحو واسع. ولم يقتصر هذا الاتصال فقط على أنظمة المعلومات والترفيه بل يشمل أيضًا أنظمة المركبات الأساسية، مثل أقفال الأبواب وتشغيل السيارة، والتي أصبح الوصول إليها ممكنًا اليوم عن طريق الإنترنت.
وأضافت كاسبرسكي لاب أنه وبمساعدة تطبيقات الأجهزة المتنقلة، يتمكن الشخص من الحصول على إحداثيات موقع السيارة وكذلك المسار الذي تسلكه والتحكم في فتح أبوابها وتشغيل المحرك والتحكم بالأجهزة الإضافية في السيارة.
وفي هذا الصدد، أكدت الشركة أن الأمر مفيد للغاية، من جهة، لكنه يثير تساؤلًا من ناحية أخرى وهو: هل بإمكان مصنعي السيارات أن يضمنوا عدم تعرض هذه التطبيقات إلى مخاطر الهجمات الإلكترونية.
وللتعرف على ذلك عن كثب، اختبر باحثو كاسبرسكي لاب سبعة تطبيقات للتحكم عن بعد في السيارات طوّرت من قبل كبرى شركات تصنيع السيارات، والتي تم تنزيلها لعشرات الآلاف المرات وفي بعض الحالات تم تحميلها حوالي خمسة ملايين مرة، وفقا لإحصاءات متجر جوجل بلاي.
وخلُصت الدراسة إلى أن كل واحد من التطبيقات الخاضعة للاختبار تحتوي على العديد من المشكلات الأمنية. وتضمنت قائمة المشكلات الأمنية المكتشفة أنه ليس هناك وسائل دفاعية ضد الهندسة العكسية للتطبيق. ونتيجة لذلك، يتمكن مستخدمو البرمجية الخبيثة من فهم كيفية عمل هذا التطبيق، والعثور على الثغرة الأمنية التي من شأنها أن تتيح لهم الوصول إلى البنية التحتية لطرف جهاز السيرفر أو نظام الوسائط المتعددة للسيارة.
كما تتضمن المشكلات الأمنية عدم وجود آلية لفحص سلامة رمز التشفير، وهذا أمر في غاية الأهمية، وفقًا لكاسبرسكي، لأنه قد يتيح لمجرمي الإنترنت إدخال رمز التشفير الخاص بهم في التطبيق واستبدال البرنامج الأصلي بآخر مزيّف.
ومن المشكلات الأمنية التي تعاني منها التطبيقات غياب تقنيات الكشف عن الروتينج Rooting). والتي توفر حقوق الروت Root لأحصنة طروادة قدرات لا نهائية وتترك التطبيق من دون أي وسائل دفاعية.
وتعاني التطبيقات أيضًا من غياب الحماية ضد تقنيات التطبيق المتراكبة، مما يمكّن بدوره التطبيقات الخبيثة من عرض نوافذ التصيد الإلكتروني وسرقة بيانات التعريف الشخصية. إضافة إلى تخزين بيانات تسجيل الدخول وكلمات المرور في النص العادي من دون تشفير. وباستغلال هذه الثغرة، قد يتمكن المجرم من سرقة بيانات المستخدمين بسهولة نسبيًا.
وعند تمكن أحد القراصنة من اختراق الجهاز بنجاح، قد تسنح له فرصة امتلاك زمام التحكم بالسيارة، وفتح الأبواب وإيقاف جهاز الإنذار وبالتالي، من الناحية النظرية، سرقة السيارة.
وفي كل حالة سيتطلب الأمر من المهاجمين إجراء بعض التحضيرات الإضافية، مثل إغراء أصحاب التطبيقات لتثبيت التطبيقات الخبيثة المصممة لغرض تحقيق مآرب خاصة من شأنها أن تقوم فيما بعد بعمل روت Root للجهاز ومن ثم الدخول إلى تطبيق السيارة. ومع ذلك، بعد أن توصل خبراء كاسبرسكي لاب من خلال الدراسة إلى أن هناك العديد من التطبيقات الخبيثة الأخرى التي تستهدف معلومات تسجيل الدخول إلى الخدمات المصرفية عبر الإنترنت وغيرها من المعلومات المهمة، تبين لهم بأن هذا ليس على الأرجح هو المشكلة بالنسبة للمجرمين المتمرسين في مجال تقنيات الهندسة الاجتماعية في حال قرروا استهداف أصحاب السيارات المتصلة بالإنترنت.
وقال فيكتور تشيبيشيف، الخبير الأمني في كاسبرسكي لاب: “يكمن الاستنتاج الرئيسي من بحثنا هذا في أن التطبيقات الخاصة بالسيارات المتصلة بالإنترنت في وضعها الراهن ليست مجهزة لمواجهة والتعامل مع الهجمات الخبيثة. وأثناء التفكير في مسألة أمن السيارات المتصلة بالإنترنت، ينبغي للمرء عدم النظر فقط في أمن البنية التحتية للخادم المتصل. ونتوقع أن تضطر شركات تصنيع السيارات إلى السير في نفس الطريق الذي سلكته البنوك مسبقًا فيما يتعلق بحماية تطبيقاتها. في البداية، لم تكن تطبيقات الخدمات المصرفية عبر الإنترنت مزودة بكل ميزات الأمان المدرجة في بحثنا”.
وأضاف تشيبيشيف: “والآن، بعد ظهور حالات متعددة من الهجمات المستهدفة للتطبيقات المصرفية، سارعت الكثير من البنوك إلى تحسين أمن منتجاتها. ولحسن الحظ، لم نكتشف بعد أي هجمات تم شنها ضد تطبيقات السيارات، مما يعني أن بائعي السيارات لا يزال لديهم الوقت الكافي لعمل الأشياء الصحيحة والتصرف على النحو الأمثل، مع أن الوقت المتوفر لديهم على وجه الدقة لايزال غير معروف. تتسم أحصنة طروادة الحديثة بمرونتها وسرعة تأقلمها العالية، فأحيانًا تظهر على شكل أدوير Adware وقد تقوم في بعض الأحيان بتحميل تعريفات جديدة بسهولة، مما يمكنها من استهداف تطبيقات جديدة بسهولة.”
ويوصي باحثو كاسبرسكي لاب مستخدمي تطبيقات السيارات المتصلة بالإنترنت باتباع بعض الإجراءات الأمنية لحماية سياراتهم والبيانات الخاصة بهم من الهجمات الإلكترونية المحتملة، بما في ذلك عدم عمل روت Root لجهاز بنظام أندرويد لأن هذا سيمنح قدرات لانهائية للتطبيقات الخبيثة.
كما توصي الشركة بضرورة تعطيل خاصية تثبيت التطبيقات من أي مصادر أخرى غير متاجر التطبيقات الرسمية، إضافة إلى ضرورة الإبقاء على إصدار نظام التشغيل في حالة تحديث دائم من أجل تقليل الثغرات الأمنية في البرامج وتخفيض مستوى مخاطر الهجمات. وكذلك يجب تثبيت الحل الأمني المعتمد من أجل حماية الجهاز من الهجمات الإلكترونية.
0 تعليقات على " كاسبرسكي لاب: من يتحكم بسياراتكم المتصلة من دون علمكم؟ "