وجد الباحثون نقاط ضعف خطيرة في الأنظمة في سيارات مرسيدس وبي إم دبليو وبورش وفيراري
جاكرتا (رويترز) - وجدت مجموعة من الباحثين ثغرات في بعض أكبر شركات تصنيع السيارات في العالم يمكن للقراصنة استغلالها ليس فقط بسرقة البيانات الشخصية للمالك ولكن يمكنهم نقل السيارة عن بعد.
ومن بين الباحثين الذين شملهم سبعة أشخاص صائد المكافآت ومهندس الأمن في مختبرات يوجا سام كاري. ووجدوا أن المنتجات من ما يصل إلى 16 شركة كبرى لصناعة السيارات وثلاثة من بائعي تكنولوجيا المركبات بها ثغرات أمنية.
هذه الثغرة محفوفة بالمخاطر للغاية ، ويمكن أن تؤدي إلى الاستيلاء على الحساب ، وتنفيذ التعليمات البرمجية عن بعد (RCE) ، ناهيك عن تنفيذ الأوامر التي تؤدي إلى التحكم المادي في السيارة.
يمكن أيضا استخدام بعض نقاط الضعف لسرقة المعلومات عن طريق توجيه المتسللين مباشرة إلى معلومات التعريف الشخصية لمستخدم السيارة (PII) المخزنة في تطبيق السيارة.
تتمثل إحدى المشكلات المهمة في أن بعض شركات صناعة السيارات تعتمد على برامج واجهة برمجة التطبيقات التابعة لجهات خارجية بدلا من بناء التكنولوجيا الخاصة بها. وفقا لكاري ، تؤثر الثغرة الأمنية على فورد وتويوتا ومرسيدس وبي إم دبليو وبورش وفيراري وغيرها.
عندما تعمق كاري وزملاؤه الباحثون ، فوجئوا بسرور بكمية المعلومات والتأثير الذي يمكن أن يحدثوه مع رقم تعريف السيارة (VIN).
"أرقام VIN شائعة جدا ، يمكنك المشي إلى السيارة للحصول على رقم VIN. ولكن مع الكثير من واجهات برمجة التطبيقات هذه ، إذا كان لديك رقم VIN ، فسيعيد فقط الاسم الكامل للشخص أو مستوى بطارية السيارة ويمكنك إضافته إلى حسابك ، "قال كاري.
يمكن للباحثين استخدام أرقام VIN ليس فقط للتحكم الكامل في حساب سيارة المالك ، والذي يتضمن كمية كبيرة من المعلومات الشخصية ، بل يمكنهم أيضا القفل وإلغاء القفل عن بعد ، وإيقاف المحرك ، وتحديد موقع المركبات الأخرى مثل كيا وهوندا وإنفينيتي ونيسان وأكورا.
بالإضافة إلى ذلك ، يمكن للباحثين أيضا تحقيق الوصول الإداري لإدارة جميع حسابات المستخدمين والمركبات لأي مركبة متصلة بشركة لوحة الترخيص الرقمية Reviver.
يمكن للباحثين استخدام الثغرة الأمنية لتتبع الموقع الفعلي للمركبة عبر نظام تحديد المواقع العالمي (GPS) ووضع علامة عليها مسروقة على لوحة ترخيص. في بيان ، قال Reviver إنهم لم يجدوا أي دليل على استغلال الثغرة الأمنية واتخذوا المزيد من الإجراءات لمنع حدوث ذلك في المستقبل.
"كل من هذه الشركات لديها بوابة للقروض الائتمانية. لذلك ، هناك الكثير من المعلومات مثل اسمك وعنوانك ومعلومات الفواتير الخاصة بك ، "قال كاري.
قال كاري إنه الآن تم تصحيح جميع أوجه القصور التي أبلغ عنها هو والفريق من قبل شركة السيارات.
كانت الثغرة الأمنية التي تم إصلاحها الآن في مزود GPS Spireon ، وبائع نظام اتصالات المركبات SiriusXM ومزود منصة السيارات كخدمة Reviver وعملاء المصب بما في ذلك Roll Royce و BMW و Ferrari و Mercedes-Benz و Jaguar و Porsche و Land Rover و Toyota و Honda و Nissan و Hyundai و Ford و KIA و Acuraو Genesis و Infiniti.
"سنجد نقاط ضعف في شركة سيارات واحدة ثم سنبلغ عنها ، ثم سننتقل إلى شركة سيارات أخرى وستكون نفس الشيء بالضبط" ، قال كاري في مدونته المقتبسة من CyberScoop ، الاثنين ، 9 يناير.
وتؤكد النتائج على المخاطر الأمنية للمستهلكين وصانعي السيارات حيث يواصل صانعو السيارات زيادة كمية البرامج في المركبات ومنح المالكين التطبيق للتواصل مع سياراتهم. مع النتائج التي توصل إليها كاري ، فإنه يشير إلى أن شركات صناعة السيارات يجب أن تفعل المزيد للتركيز على الأمن السيبراني.