تخطي إلى المحتوى الرئيسي

قام باحثو كاسبرسكي لاب بإجراء اختبار على أمن تطبيقات التحكم عن بعد للسيارات باختيار عينات لعدد من أشهر مصنعي السيارات. ونتيجة لذلك، اكتشف خبراء الشركة بأن جميع التطبيقات تحتوي على عدد من المشكلات الأمنية التي قد تتيح للمجرمين إلحاق أضرار فادحة بأصحاب السيارات المتصلة.

خلال السنوات القليلة الماضية، بدأ انتشار ظاهرة السيارات المتصلة بالإنترنت على نحو واسع. ولم يقتصر هذا الاتصال فقط على أنظمة المعلومات والترفيه بل يشمل أيضا أنظمة المركبات الأساسية، مثل أقفال الأبواب وتشغيل السيارة، والتي أصبح الوصول إليها ممكناً اليوم عن طريق الإنترنت. وبمساعدة تطبيقات الأجهزة المتنقلة، يتمكن الشخص من الحصول على إحداثيات موقع السيارة وكذلك المسار الذي تسلكه والتحكم في فتح أبوابها وتشغيل المحرك والتحكم بالأجهزة الإضافية في السيارة. وهذا بدوره مفيد للغاية، من جهة، لكنه يثير تساؤلاً من ناحية أخرى وهو، هل بإمكان مصنعي السيارات أن يضمنوا عدم تعرض هذه التطبيقات إلى مخاطر الهجمات الإلكترونية.

وللتعرف على ذلك عن كثب، اختبر باحثو كاسبرسكي لاب سبعة تطبيقات للتحكم عن بعد في السيارات طوّرت من قبل كبرى شركات تصنيع السيارات، والتي تم تحميلها لعشرات الآلاف المرات وفي بعض الحالات تم تحميلها حوالي خمسة ملايين مرة، وفقا لإحصاءات Google Play. خلصت الدراسة إلى أن كل واحد من التطبيقات الخاضعة للاختبار تحتوي على العديد من المشكلات الأمنية.

تضمنت قائمة المشكلات الأمنية المكتشفة ما يلي:

  • ليس هناك وسائل دفاعية ضد الهندسة العكسية للتطبيق. ونتيجة لذلك، يتمكن مستخدمو البرمجية الخبيثة من فهم كيفية عمل هذا التطبيق، والعثور على الثغرة الأمنية التي من شأنها أن تتيح لهم الوصول إلى البنية التحتية لطرف جهاز السيرفر أو نظام الوسائط المتعددة للسيارة.
  • عدم وجود آلية لفحص سلامة رمز التشفير، وهذا أمر في غاية الأهمية، لأنه قد يتيح لمجرمي الإنترنت إدخال رمز التشفير الخاص بهم في التطبيق واستبدال البرنامج الأصلي بآخر مزيّف.
  • غياب تقنيات الكشف عن الروتينج (Rooting). توفر حقوق الروت (Root) لأحصنة طروادة قدرات لا نهائية وتترك التطبيق من دون أي وسائل دفاعية.
  • غياب الحماية ضد تقنيات التطبيق المتراكبة، مما يمكّن بدوره التطبيقات الخبيثة من عرض نوافذ التصيد الإلكتروني وسرقة بيانات التعريف الشخصية.
  • تخزين بيانات تسجيل الدخول وكلمات المرور في النص العادي من دون تشفير. وباستغلال هذه الثغرة، قد يتمكن المجرم من سرقة بيانات المستخدمين بسهولة نسبيا.

عند تمكن أحد القراصنة من اختراق الجهاز بنجاح، قد تسنح له فرصة امتلاك زمام التحكم بالسيارة، وفتح الأبواب وإيقاف جهاز الإنذار وبالتالي، من الناحية النظرية، سرقة السيارة.

وفي كل حالة سيتطلب الامر من المهاجمين إجراء بعض التحضيرات الإضافية، مثل اغواء أصحاب التطبيقات لتثبيت التطبيقات الخبيثة المصممة لغرض تحقيق مآرب خاصة من شأنها أن تقوم فيما بعد بعمل روت (Root) للجهاز ومن ثم الدخول إلى تطبيق السيارة. ومع ذلك، بعد أن توصل خبراء كاسبرسكي لاب من خلال الدراسة إلى أن هناك العديد من التطبيقات الخبيثة الأخرى التي تستهدف معلومات تسجيل الدخول إلى الخدمات المصرفية عبر الإنترنت وغيرها من المعلومات المهمة، تبين لهم بأن هذا ليس على الأرجح هو المشكلة بالنسبة للمجرمين المتمرسين في مجال تقنيات الهندسة الاجتماعية في حال قرروا استهداف أصحاب السيارات المتصلة بالإنترنت .

وقال فيكتور تشيبيشيف، الخبير الأمني في كاسبرسكي لاب، "يكمن الاستنتاج الرئيسي من بحثنا هذا في أن التطبيقات الخاصة بالسيارات المتصلة بالإنترنت في وضعها الراهن ليست مجهزة لمواجهة والتعامل مع الهجمات الخبيثة. واثناء التفكير في مسألة أمن السيارات المتصلة بالإنترنت، ينبغي للمرء عدم النظر فقط في أمن البنية التحتية للخادم المتصل. ونتوقع أن تضطر شركات تصنيع السيارات إلى السير في نفس الطريق الذي سلكته البنوك مسبقاً فيما يتعلق بحماية تطبيقاتها. في البداية، لم تكن تطبيقات الخدمات المصرفية عبر الإنترنت مزودة بكل ميزات الأمان المدرجة في بحثنا. والآن، بعد ظهور حالات متعددة من الهجمات المستهدفة للتطبيقات المصرفية، سارعت الكثير من البنوك إلى تحسين أمن منتجاتها. ولحسن الحظ، لم نكتشف بعد أي هجمات تم شنها ضد تطبيقات السيارات، مما يعني أن بائعي السيارات لا يزال لديهم الوقت الكافي لعمل الأشياء الصحيحة والتصرف على النحو الأمثل، مع أن الوقت المتوفر لديهم على وجه الدقة لايزال غير معروف. تتسم أحصنة طروادة الحديثة بمرونتها وسرعة تأقلمها العالية، فأحيانا تظهر على شكل "أدوير" (Adware) وقد تقوم في بعض الأحيان بتحميل تعريفات جديدة بسهولة، مما يمكنها من استهداف تطبيقات جديدة بسهولة."

يوصي باحثو كاسبرسكي لاب مستخدمي تطبيقات السيارات المتصلة بالإنترنت باتباع هذه الإجراءات الأمنية لحماية سياراتهم والبيانات الخاصة بهم من الهجمات الإلكترونية المحتملة:

  • لا تقم بعمل الروت (Root) لجهازك بنظام أندرويد لأن هذا سيمنح قدرات لانهائية للتطبيقات الخبيثة
  • قم بتعطيل خاصية تثبيت التطبيقات من أي مصادر أخرى بخلاف متاجر التطبيقات الرسمية.
  • ابق إصدار نظام التشغيل في حالة تحديث دائم من أجل تقليل الثغرات الأمنية في البرامج وتخفيض مستوى مخاطر الهجمات.
  • قم بتثبيت الحل الأمني المعتمد من أجل حماية جهازك من الهجمات الإلكترونية.

لمعرفة المزيد عن تهديدات السيارات المتصلة، يرجى قراءة المدونة المتوفرة عبر الموقع: Securelist.com

من يتحكم بسياراتكم من دون علمكم؟

قام باحثو كاسبرسكي لاب بإجراء اختبار على أمن تطبيقات التحكم عن بعد للسيارات باختيار عينات لعدد من أشهر مصنعي السيارات. ونتيجة لذلك، اكتشف خبراء الشركة بأن جميع التطبيقات تحتوي على عدد من المشكلات الأمنية التي قد تتيح للمجرمين إلحاق أضرار فادحة بأصحاب السيارات المتصلة.
Kaspersky Logo