יום שישי , אוקטובר 20 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > רכב מקושר: מי שולט במכונית שלך?

רכב מקושר: מי שולט במכונית שלך?

חוקרי מעבדת קספרסקי בחנו את אבטחת המידע באפליקציות לשליטה מרחוק ברכבים מחוברים של מספר יצרני רכב מוכרים וגילו כי כל האפליקציות מכילות בעיות אבטחה cars.min_מהותיות שעלולות להיות מנוצלות על ידי עבריינים.

בשנים האחרונות יותר ויותר כלי רכב מתחברים באופן אקטיבי לאינטרנט. הקישוריות אינה כוללת רק מערכות בידור אלא גם מערכות רכב חיוניות, כגון מערכות נעילת דלתות והתנעה, אשר הפכו לנגישות כעת דרך האינטרנט. בסיוע אפליקציות למכשירים ניידים ניתן כעת לקבל את מיקום הרכב וכן את מסלולו, לפתוח את דלתות הרכב, להתניעו ולשלוט במכשור נוסף בתוך הרכב. מצד אחד, אפליקציות אלו יכולות להיות שימושיות מאוד. מנגד, נשאלת השאלה האם וכיצד מאבטחים יצרני הרכב את האפליקציות האלה מפני איומי סייבר?

חוקרי מעבדת קספרסקי בחנו שבע אפליקציות שליטה מרחוק ברכב שפותחו על ידי יצרני רכב מובילים. על פי נתוני גוגל פליי האפליקציות האלה הורדו עשרות אלפי פעמים, ובמקרים מסוימים, הגיעו גם ל- 5 מיליון הורדות. החוקרים גילו כי כל אחת מהאפליקציות שנבחנה הכילה מספר בעיות אבטחה.

רשימת בעיות האבטחה שנחשפו כוללת:

  • היעדר הגנה מפני הנדסה לאחור של אפליקציות. כתוצאה מכך, משתמשים זדוניים יכולים להבין כיצד האפליקציה עובדת ולמצוא פרצות שיאפשרו להם גישה לתשתית השרת (server-side infrastructure) או למערכת המולטימדיה של הרכב.
  • לא נעשו בדיקות לשלמות קוד. חסרונן מאפשר לעבריינים לשלב את הקוד שלהם באפליקציה ולהחליף את התוכנה המקורית במזויפת.
  • אין טכניקות לזיהוי פרצות ליבה (Rooting). הרשאות ליבה מאפשרות לטרויאנים יכולות כמעט אינסופיות ומותירות את האפליקציה ללא הגנות.
  • היעדר הגנה מפני טכניקות "מיסוך" (overlaying). הדבר מסייע לאפליקציות זדוניות להציג חלונות פישינג על פני האפליקציה האמיתית ולגנוב הרשאות של משתמשים.
  • אחסון של סיסמאות בטקסט פשוט. באמצעות שימוש בחולשה זו, עבריינים יכולים לגנוב נתוני משתמשים בקלות יחסית.

cars_research_en_1ניצול הפרצות מאפשר למשל לתוקף לקבל שליטה על הרכב, לפתוח דלתות, לכבות את האזעקה, ובאופן תיאורטי לגנוב את הרכב.

כל אפיק תקיפה שייבחר הפורץ ידרוש הכנה נוספת, כגון שידול בעל האפליקציה להתקין אפליקציה זדונית שהוכנה במיוחד אשר תפרוץ לליבת המכשיר ותקבל גישה לאפליקציית הרכב. עם זאת, מומחי מעבדת קספרסקי הסיקו ממחקר שביצעו לגבי אפליקציות זדוניות אחרות, הממוקדות בגניבת הרשאות לבנקאות מקוונת, כי הדבר לא יהווה מכשול רציני עבור עבריינים המנוסים בטכניקות של הנדסה חברתית, באם יחליטו לשים להם כמטרה רכבים מקושרים.

"המסקנה המרכזית של המחקר היא שבמצב הנוכחי, אפליקציות לרכבים מקושרים אינן ערוכות לעמוד במתקפות קוד זדוני. כאשר בוחנים את נושא האבטחה ברכב מחובר, צריך להסתכל מעבר לתשתית השרת. אנו צופים כי יצרני רכב יצטרכו לנקוט באותה הדרך בה נוקטים היום הבנקים ביחס לאבטחת האפליקציות שלהם. בהתחלה, אפליקציות לבנקאות לא הכילו את כל מאפייני האבטחה שצוינו במחקר שלנו. כעת, לאחר מגוון מקרים של התקפות כנגד אפליקציות בנקאות, בנקים רבים שיפרו את אבטחת המוצרים שלהם. למרבה המזל, עדיין לא זוהה אף מקרה של התקפה כנגד אפליקציות רכב, והמשמעות היא שליצרנים עדיין יש זמן לעשות את הדברים נכון. כמה זמן יש להם בדיוק – אנחנו לא יודעים. טרויאנים מודרניים הם גמישים מאוד – יום אחד הם יכולים לפעול כמו קוד זדוני רגיל להצגת פרסומות, ולמחרת, הם יכולים בקלות להוריד תצורה חדשה שתאפשר לתקוף אפליקציות אחרות. מישור ההתקפה הוא באמת עצום", אמר ויקטור שבצייב, מומחה אבטחה, מעבדת קספרסקי.

חוקרי מעבדת קספרסקי מייעצים למשתמשים של אפליקציות רכב לעקוב אחר האמצעים הבאים כדי להגן על רכבם ועל הנתונים האישיים שלהם מפני מתקפות סייבר אפשריות:

  • אל תפרצו את ליבת מכשיר האנדרואיד, מאחר והדבר פותח פתח ליכולות בלתי מוגבלות של אפליקציות זדוניות
  • נטרלו את היכולת להתקין אפליקציות ממקור אחר מאשר חנויות האפליקציות הרשמיות.
  • שמרו על את גרסת ה-OS של המכשיר מעודכנת, במטרה להקטין את מספר הפרצות בתוכנה ולהקטין את הסיכון להתקפה.
  • התקינו פתרון אבטחה מוכח כדי להגן על המכשיר שלך מפני מתקפות סייבר.

למידע נוסף על האיום על מכוניות מרושתות, דוח מלא

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.