هل هناك من يتحكم بسياراتكم دون علمكم؟
قام باحثو” كاسبرسكي لاب” بإجراء اختبار على أمن تطبيقات التحكم عن بعد للسيارات باختيار عينات لعدد من أشهر مصنعي السيارات. ونتيجة لذلك، اكتشف خبراء الشركة بأن جميع التطبيقات تحتوي على عدد من المشكلات الأمنية التي قد تتيح للمجرمين إلحاق أضرار فادحة بأصحاب السيارات المتصلة.
خلال السنوات القليلة الماضية، بدأ انتشار ظاهرة السيارات المتصلة بالإنترنت على نحو واسع. ولم يقتصر هذا الاتصال فقط على أنظمة المعلومات والترفيه بل يشمل أيضا أنظمة المركبات الأساسية، مثل أقفال الأبواب وتشغيل السيارة، والتي أصبح الوصول إليها ممكناً اليوم عن طريق الإنترنت. وبمساعدة تطبيقات الأجهزة المتنقلة، يتمكن الشخص من الحصول على إحداثيات موقع السيارة وكذلك المسار الذي تسلكه والتحكم في فتح أبوابها وتشغيل المحرك والتحكم بالأجهزة الإضافية في السيارة. وهذا بدوره مفيد للغاية، من جهة، لكنه يثير تساؤلاً من ناحية أخرى وهو، هل بإمكان مصنعي السيارات أن يضمنوا عدم تعرض هذه التطبيقات إلى مخاطر الهجمات الإلكترونية.
وللتعرف على ذلك عن كثب، اختبر باحثو “كاسبرسكي لاب” سبعة تطبيقات للتحكم عن بعد في السيارات طوّرت من قبل كبرى شركات تصنيع السيارات، والتي تم تحميلها لعشرات الآلاف المرات وفي بعض الحالات تم تحميلها حوالي خمسة ملايين مرة، وفقا لإحصاءات Google Play. خلصت الدراسة إلى أن كل واحد من التطبيقات الخاضعة للاختبار تحتوي على العديد من المشكلات الأمنية.
تضمنت قائمة المشكلات الأمنية المكتشفة ما يلي:
•ليس هناك وسائل دفاعية ضد الهندسة العكسية للتطبيق. ونتيجة لذلك، يتمكن مستخدمو البرمجية الخبيثة من فهم كيفية عمل هذا التطبيق، والعثور على الثغرة الأمنية التي من شأنها أن تتيح لهم الوصول إلى البنية التحتية لطرف جهاز السيرفر أو نظام الوسائط المتعددة للسيارة.
•عدم وجود آلية لفحص سلامة رمز التشفير، وهذا أمر في غاية الأهمية، لأنه قد يتيح لمجرمي الإنترنت إدخال رمز التشفير الخاص بهم في التطبيق واستبدال البرنامج الأصلي بآخر مزيّف.
•غياب تقنيات الكشف عن الروتينج (Rooting). توفر حقوق الروت (Root) لأحصنة طروادة قدرات لا نهائية وتترك التطبيق من دون أي وسائل دفاعية.
•غياب الحماية ضد تقنيات التطبيق المتراكبة، مما يمكّن بدوره التطبيقات الخبيثة من عرض نوافذ التصيد الإلكتروني وسرقة بيانات التعريف الشخصية.
•تخزين بيانات تسجيل الدخول وكلمات المرور في النص العادي من دون تشفير. وباستغلال هذه الثغرة، قد يتمكن المجرم من سرقة بيانات المستخدمين بسهولة نسبيا.
عند تمكن أحد القراصنة من اختراق الجهاز بنجاح، قد تسنح له فرصة امتلاك زمام التحكم بالسيارة، وفتح الأبواب وإيقاف جهاز الإنذار وبالتالي، من الناحية النظرية، سرقة السيارة.
