הרכב המחובר הפך למציאות, אבל האם הוא מאובטח

יום ד', 9 ביולי 2014

 

מעבדת קספרסקי ו- IAB, חברת השיווק והמדיה הדיגיטלית המובילה בספרד, הכריזו על השקת המחקר השנתי הראשון בנושא רכב מחובר (Connected Cars). היעד המרכזי של המחקר הוא לספק סקירה על שוק כלי הרכב המחוברים, תוך איחוד כל המידע הנדרש כדי לענות על מספר שאלות בוערות, וכדי להביא אחדות מסוימת לסביבת התוכנה המבוזרת מאוד שמוצעת כיום על ידי היצרנים. ויסנט דיאז, חוקר אבטחה ראשי במעבדת קסרפסקי, היה אחראי על ביצוע "הוכחת קיימות" לגבי ניתוח בעיות האבטחה של חיבור כלי רכב לאינטרנט.

אנשי התעשייה כבר אינם יכולים להתעלם מבעיות אבטחה הקשורות בתקשורת ובשירותי האינטרנט הכלולים בדור החדש של הרכב המחובר. מדובר בהרבה יותר מאשר פשוט לחנות את הרכב בביטחה – היום מקיף התחום גם את הגישה לרשתות חברתיות, דואר אלקטרוני, קישוריות סמארטפונים, חישוב מסלולים, אפליקציות פנימיות ברכב, ועוד. טכנולוגיות אלה מציעות יתרונות גדולים עבור הנהגים, אבל גם מביאות עימן סיכונים חדשים למשתמשים. זו הסיבה שבגללה חיוני לנתח את האפיקים השונים שיכולים להוביל להתקפות סייבר, תאונות או אפילו הונאות באחזקת הרכב.

פרטיות מידע, עדכוני תוכנה ואפליקציות סמארטפון לרכב מחובר יכולים להפוך לשלושה אפיקי תקיפה שונים מצד עברייני הרשת. "רכב מחובר יכול לפתוח שער לאיומים הקיימים בעולם המחשבים האישיים והסמארטפונים. לדוגמא, הבעלים של רכב מחובר עלולים לגלות כי הסיסמאות שלהם נגנבו, מה שיחשוף את מיקום הרכב ויאפשר לדלתות להיפתח מרחוק. בעיות פרטיות הן קריטיות, ואנשי תעשיית הרכב כיום חייבים להיות מודעים לסיכונים חדשים שפשוט לא היו קיימים בעבר", אמר דיאז.

"הוכחת הקיימות" שביצעה מעבדת קספרסקי, תוך ניתוח מערכת ConnectedDriceשל BMW, זיהתה מספר ערוצי התקפה אפשריים:

 

הרשאות שנגנבו: גניבת ההרשאות הנדרשות כדי לגשת לאתר BMW– תוך שימוש באמצעים מוכרים כגון פישינג, הקלטת הקלדה או הנדסה חברתית – יכולה להביא לגישה בלתי מורשית של גוף חיצוני אל נתוני משתמש ואז אל הרכב עצמו. מכאן, ניתן להתקין אפליקציה ניידת באמצעות אותן הרשאות, ואולי לאפשר שליטה מרחוק  לפני פתיחת המכונית ובמהלך הנסיעה בה.

 

אפליקציות ניידות:  אם אתה מפעיל את פתיחה מרחוק של הרכב ממכשיר נייד, אתה למעשה יוצר סט חדש של מפתחות לרכב שלך. אם האפליקציה אינה מאובטחת, כל מי שגונב את המכשיר הנייד יכול לקבל גישה לרכב שלך. עם טלפון גנוב יהיה אפשרי לשנות אפליקציות בסיסי נתונים, ליצור  מעקף של כל קוד אימות PIN, ולאפשר לעברייני רשת להפעיל אופציות שליטה מרחוק.

 

עדכונים: דרייברים של מערכת בלוטות' מעודכנים באמצעות הורדת קובץ מאתר BMWוהתקנתם דרך  USB. קובץ זה אינו מוצפן או חתום, והוא כולל מידע רב אודות המערכות הפנימיות הפועלות ברכב. הדבר מאפשר לתוקף פוטנציאלי גישה לסביבה ממוקדת, ויכול גם לעבור שינוי  כדי להריץ קוד זדוני.

 

תקשורת: פונקציות מסוימות מתקשרות עם ה- SIMבתוך הרכב באמצעות תקשורת SMS. פריצה לתוך ערוץ תקשורת זה מאפשר לשלוח הוראות מזויפות בהתבסס על רמת ההצפנה של המפעיל. בתרחיש הגרוע, עבריין יכול להחליף את התקשורת של BMWעם הוראות ושירותים משלו.