ملايين السيارات معرضة للاختراق والتتبع بسبب ثغرة بسيطة في موقع ويب
عندما وجد الباحثون الأمنيون في الماضي طرقًا للسيطرة على أنظمة السيارات المتصلة بالإنترنت، أظهرت تجاربهم العملية أن اختراق السيارات مهمة شاقة للغاية، إذ تتطلب سنوات من الجهد ومهارات تقنية عالية.
فقد استغرق تطوير الثغرات الأمنية، مثل تلك التي اُستخدمت للسيطرة من بُعد على سيارة شيفروليه إمبالا في عام 2010 أو سيارة جيب في عام 2015، سنوات من العمل، لأنها تطلبت حيلًا مبتكرة مثل: فك شفرة برمجيات السيارات، أو استخدام تقنيات معقدة لتضليل الأنظمة الإلكترونية للسيارة، كما لجأ الباحثون إلى طرق غير تقليدية مثل حقن البرامج الضارة عبر ملفات صوتية أو أقراص مضغوطة.
ولكن الآن يمكن للقراصنة استغلال ثغرات بسيطة في مواقع الويب للسيطرة على ملايين السيارات من بُعد، ولكن كيف يحدث ذلك، وما تداعياته على صناعة السيارات؟
اختراق سيارات كيا:
أظهرت دراسة حديثة أجراها باحثون مستقلون أنهم تمكنوا من اختراق سيارات كيا الحديثة بسهولة بالغة، وذلك من خلال استغلال ثغرة أمنية في بوابة ويب تابعة لشركة كيا، أتاحت لهم إعادة تعيين التحكم في مجموعة واسعة من المزايا المتصلة بالإنترنت في السيارة، مثل: فتح الأبواب وتشغيل المحرك، وذلك من بُعد باستخدام هواتفهم الذكية.
ولكن كيف حدث ذلك؟
اكتشف الباحثون ثغرة بسيطة ولكنها خطيرة في البنية التحتية الرقمية لشركة كيا، وتكمن هذه الثغرة في الواجهة الخلفية لبوابة العملاء والتجار، وهي بمنزلة البوابة الرئيسية التي تتحكم في مزايا السيارات المتصلة بالإنترنت.
وباستغلال خلل بسيط في آلية التحقق من هوية المستخدم، تمكن الباحثون من الوصول إلى امتيازات وكيل كيا، مما أتاح لهم التحكم الكامل بأي سيارة كيا تقريبًا، ويكمن جوهر المشكلة في عدم وجود آلية فعالة للتحقق من صلاحيات المستخدم، مما سمح للمهاجمين بالتظاهر بأنهم وكلاء معتمدون.
وقد استغل الباحثون هذه الثغرة لتطوير تطبيق يسمح لهم بإرسال أوامر مباشرة إلى وحدة التحكم الإلكترونية في السيارات المستهدفة بمجرد إدخال رقم لوحتها فقط، وقد منحهم ذلك القدرة على التحكم في وظائف حيوية مثل: تتبع موقع السيارة، وفتح الأبواب، والتحكم في المحرك، بالإضافة إلى تغيير الإعدادات، إذ يمكنهم تغيير الإعدادات في واجهة الترفيه في السيارة، مثل مستوى الصوت أو درجة الحرارة.
وعلاوة على ذلك، سمحت الثغرة الأمنية للمهاجمين بجمع المعلومات الشخصية الخاصة بمالك السيارة المستهدفة، مثل: الاسم وعنوان المنزل، والبريد الإلكتروني ورقم الهاتف، بالإضافة إلى ذلك أتاحت لهم إنشاء مستخدم ثانٍ للسيارة، دون علم المالك.
وأوضح سام كاري، أحد الباحثين الذين اكتشفوا هذه الثغرة، أنها تسمح للمهاجمين بالسيطرة على وظائف السيارة الرئيسية خلال 30 ثانية، باستخدام رقم لوحة السيارة فقط.
وقال: “يمكن استغلال الثغرة الأمنية لإرسال أوامر إلى أي سيارة كيا تقريبًا صُنعت بعد عام 2013”. ويعني ذلك أن هذه الثغرة تؤثر في ملايين سيارات كيا المستخدمة حاليًا.
وقد أبلغ الباحثون شركة كيا بهذه الثغرة في شهر يونيو 2024، وأقرت الشركة بالثغرة، وعملت على إصلاح لها نفذته في منتصف شهر أغسطس الماضي.
ومع ذلك، هذا الإصلاح لا يحل مشكلة خطيرة للغاية تتعلق بالأمان السيبراني في صناعة السيارات، إذ إن الثغرة التي استغلها الباحثون لاختراق السيارات، تُعدّ هي الثانية من نوعها التي تُكتشف في أنظمة كيا خلال عام واحد، مما يشير إلى وجود مشكلة هيكلية في بنية الأمن السيبراني للشركة.
علاوة على ذلك، يشير الباحثون إلى أن هذه الثغرات هي جزء من سلسلة واسعة من الثغرات المماثلة القائمة على الويب التي اكتشفوها خلال العامين الماضيين، والتي أثرت في السيارات التي تصنعها كبرى الشركات مثل: (أكيورا) Acura، و(جينيسيس) Genesis، و(هوندا) Honda، و(هيونداي) Hyundai، و(إنفينيتي) Infiniti، و(تويوتا) Toyota.
وقال نيكو ريفيرا، أحد الباحثين الذين اكتشفوا أحدث ثغرة في نظام كيا، والذي عمل مع المجموعة التي اكتشفت ثغرات الويب في سيارات أخرى في يناير من العام الماضي: “إن المشكلة أعمق مما كنا نعتقد، فكلما تعمقنا في دراسة أمن الويب في السيارات وجدنا أنه يعاني ثغرات خطيرة للغاية.
رقم لوحة السيارة هو كل ما يحتاج إليه المهاجم للسيطرة عليها:
قبل إبلاغ شركة كيا بالثغرة الأمنية، اختبر الباحثون تقنيتهم القائمة على الويب على مجموعة من سيارات كيا، بدءًا من سيارات الأصدقاء، والسيارات المستأجرة ووصولًا إلى السيارات المعروضة في صالات العرض. وقد أثبتت هذه التجارب نجاح التقنية في اختراق جميع السيارات التي جرى اختبارها، مما يؤكد خطورة الثغرة وتأثيرها الواسع.
لا تمنح تقنية اختراق سيارات كيا القائمة على الويب التي استخدمها الباحثون إمكانية السيطرة المباشرة على عناصر القيادة الحيوية مثل التوجيه والمكابح، ونظام (Immobilizer) للحماية من السرقة، ولكنها تتيح لهم الوصول إلى أنظمة أخرى بالسيارة، ويعني ذلك أنهم يمكنهم، نظريًا، استغلال هذه الثغرة بالاقتران مع تقنيات أخرى معروفة لدى اللصوص لتعطيل نظام الحماية من السرقة (Immobilizer)، أو سرقة السيارات التي لا تحتوي على هذا النظام.
وحتى في الحالات التي لا تسمح فيها هذه الثغرة بسرقة السيارة مباشرة، يمكن استغلالها لتنفيذ العديد من السيناريوهات الأخرى التي تهدد أمن وسلامة السائقين والركاب، مثل سرقة محتويات السيارة وتنفيذ أعمال تخريبية، فضلًا عن انتهاك الخصوصية من خلال الوصول إلى المعلومات الشخصية وتتبع الموقع.
ويشرح الباحث كاري خطورة الثغرة بقوله: “تخيل أن شخصًا ما قطع طريقك فجأة، يمكنك بسهولة مسح لوحة سيارته، ثم باستخدامها يمكن تعقبه في أي وقت وتحديد مكانه بدقة. ويعني ذلك أن أي شخص لديه لوحة سيارة كيا يمكن نظريًا تتبعه وتحديد مكانه.
ولا يتوقف الأمر عند هذا الحد، إذ إن سيارات كيا المزودة بكاميرات بزاوية قدرها 360 درجة، لم تكن بمنأى عن هذه الثغرة، مما يعني أن المتسللين يمكنهم نظريًا الوصول إلى لقطات فيديو من السيارة.
بالإضافة إلى ذلك، فقد سمحت هذه الثغرة للمتسللين بالوصول إلى قاعدة بيانات عملاء كيا، التي تشمل بيانات شخصية حساسة مثل: الأسم، والعنوان، والبريد الإلكتروني، ورقم الهاتف، وحتى سجلات القيادة، مما يمثل تهديدًا خطيرًا لأمن المستخدمين وسلامتهم.
تقديم المزيد من المزايا الذكية في السيارات يؤدي إلى المزيد من الثغرات الأمنية:
يقول ستيفان سافاج، أستاذ علوم الحاسوب في جامعة كاليفورنيا في سان دييجو، الذي كان فريقه أول من نجح في اختراق نظام توجيه سيارة ومكابحها عبر الإنترنت في عام 2010: “إن العدد الاستثنائي للثغرات الأمنية في مواقع شركات صناعة السيارات التي تسمح بالتحكم من بعد في السيارات، هو نتيجة مباشرة لسعي الشركات إلى جذب المستهلكين، وخاصة الشباب، باستخدام مزايا جديدة مدعومة بالهواتف الذكية”.
ويوضح سافيج الأمر قائلاً: “بمجرد ربط المزايا الجديدة في السيارة بالهاتف والإنترنت، فإنك تصنع نقاط ضعف جديدة لم تكن موجودة من قبل، ومع ذلك فإن العديد من شركات صناعة السيارات لم تولِ أمن الويب الذي يدير هذه المزايا اهتمامًا كافيًا، مما يجعل السيارات عرضة للاختراق بسهولة”.
ويقول الباحث ريفيرا إنه لاحظ بنفسه خلال عمله في مجال الأمن السيبراني للسيارات أن شركات السيارات غالبًا ما تركز بنحو أكبر في أمن الأجهزة المضمنة داخل السيارة، مثل: المحرك ونظام الفرامل، وتتجاهل نسبيًا أمن الويب، ويعود ذلك إلى صعوبة تحديث الأجهزة المضمنة مقارنة بالبرمجيات، مما يجعل الشركات تميل إلى تأجيل معالجة هذه المشكلة.
وقد أثبتت الأبحاث التي أجريت على سيارات كيا أن هذه الثغرات الأمنية حقيقية وليست مجرد نظرية. فقد تمكن الباحثون من استغلال ثغرات في أنظمة السيارات من بُعد، مما يهدد بفتح الباب أمام العديد من المخاطر الأمنية، مثل سرقة السيارات أو التجسس على أصحابها.
ويأمل سافيج أن يكون اكتشاف ثغرات كيا حافزًا لتغيير جذري في أولويات صناعة السيارات. فبعد سلسلة من الهجمات الناجحة على أنظمة السيارات المضمنة بدأت الشركات تدرك أهمية حماية هذه الأنظمة. ولكن، مع تزايد الاعتماد على التقنيات المتصلة بالإنترنت، ظهر تحدٍ جديد يتمثل في حماية الأنظمة المستندة إلى الويب التي تتحكم في العديد من مزايا السيارة.
ويشبه سافيج هذا التحدي بمعضلة صعبة: هل تؤجل الشركات شحن سيارة جديدة لعدة أشهر لضمان سلامة البرمجيات؟ هذا قرار صعب، ولكنه ضروري لضمان أمان المستخدمين. ويأمل أن يدفع هذا الاكتشاف الشركات إلى إعادة تقييم إجراءاتها وإعطاء الأولوية للأمن السيبراني بنحو أكبر.
ما تداعيات هذه المشكلة على صناعة السيارات؟
تطرح مشكلة الثغرات الأمنية في سيارات كيا، التي تسمح بالتحكم من بعد فيها، مجموعة من التداعيات الخطيرة على صناعة السيارات. فقد يؤدي تكرار مثل هذه الحوادث إلى تراجع ثقة المستهلكين بالسيارات المتصلة، مما قد يعوق تطور هذه الصناعة.
إذ تشكل هذه الثغرات الأمنية تهديدًا خطيرًا على أصحاب السيارات، إذ يمكن للمتسللين فتح قفل السيارة وتشغيل المحرك وسرقتها، أو تتبع تحركات السيارة ومعرفة أماكن وجودها في أي وقت، أو تعطيل بعض أنظمة السيارة أو التسبب في حوادث.
كما يتطلب إصلاح هذه الثغرات وتأمين السيارات استثمارات كبيرة من شركات صناعة السيارات، وقد يؤدي ذلك إلى ارتفاع تكاليف التأمين على السيارات نتيجة لزيادة المخاطر.
لتجنب هذه التداعيات، يجب على شركات صناعة السيارات اتخاذ الإجراءات التالية:
- تعزيز الأمن السيبراني: يجب على الشركات الاستثمار في تطوير أنظمة أمنية قوية لحماية السيارات من الاختراق.
- تحديث البرامج بانتظام: يجب على الشركات إصدار تحديثات برامج منتظمة لإصلاح الثغرات الأمنية.
- التعاون مع خبراء الأمن: يجب على الشركات التعاون مع خبراء الأمن السيبراني لاكتشاف الثغرات الأمنية وإصلاحها.
- توعية المستهلكين: يجب على الشركات توعية المستهلكين بأهمية الأمن السيبراني وكيفية حماية سياراتهم.
ختامًا؛ تؤكد هذه الحوادث أن الأمن السيبراني يجب أن يكون جزءًا لا يتجزأ من عملية تصميم السيارات وتطويرها، فمع تزايد الترابط بين السيارات والإنترنت، أصبح من الضروري حماية هذه السيارات من الهجمات الإلكترونية.
لذلك يجب على الشركات المصنعة للسيارات تحقيق التوازن بين الرغبة في تقديم أحدث المزايا وبين الحاجة إلى ضمان أمان المستخدمين، إذ إن الثغرات الأمنية في السيارات ليست مجرد مشكلة تقنية، بل تهدد سلامة ملايين الأشخاص حول العالم وأمنهم.
تم نسخ الرابط