• האקרים טוענים שהם יכולים להשבית עד 25 אלף מכוניות בו זמנית

    הטכנולוגיה אמורה לסייע לאנשים, אך לעתים היא מביאה איתה גם צרות • חוקרי אבטחת סייבר מצאו פרצה בטכנולוגיית האימובילייזר שיכולה תוך זמן קצר לפגוע ברכבים רבים • האם צריך לחשוש מטכנולוגיות שנכנסו לתוך הרכבים שלנו?
    30/08/2019 | תומאס ברוסטר
    רבים מאיתנו מסתמכים על טכנולוגיות כדי להגן על המכוניות שלנו מפני גנבים. אולם כעת הטכנולוגיה הופכת גם לאיום ביטחוני, עד כדי כך שהאקרים טוענים שהם יכולים להשבית עד 25 אלף מכוניות בבת אחת. הכל הודות לפגיעות, בעזרתה ניתן בפשטות מפחידה להשתלט מרחוק על מערכת ההגנה של הרכב ולמנוע מנהגים להתחיל בנסיעה שלהם.

    טכנולוגיית האימובילייזר אמורה להגן על המכונית, כלומר, אם נוכל גונב את המכונית שלך, אתה יכול להתחבר למנועי ההפעלה, שעוקב אחר הרכב ומאפשר לך למנוע מכל אחד להפעיל את המנוע. היא מבטיחה שרק בעלו של מפתח המפתח הנכון יוכל להפעיל את הרכב.

    הטכנולוגיה לא תמיד בצד הטוב | צילום: Shutterstock

    אבל באימובילייזר אחד מסוים - SmarTrack מתוצרת בריטניה, מבית Global Telemetrics - המערכת הפכה לפריצה - וחוקרים שבחנו את הנושא הצליחו פשוט להדליק את המערכת לצמיתות, מבלי שהלקוח ידע דבר. 

    האימובילייזר שלך בידינו

    קן מונרו, חוקר אבטחת סייבר ושותף ב-Pen Test Partners, שם בוצע המחקר והתגלתה הפגיעות, תיאר לראשונה את הפריצה. הוא גילה שאפשר להפעיל את האימובילייזר והמכונית על ידי שליחת בקשה פשוטה באמצעות הדפדפן. ברגע שהוא נכנס לפקודה, נדרשה פחות משנייה עד שהמתקן הופעל. מונרו בלבל את המערכת ו"התנהג" כאחד מעובדי מוקד הטלפונים של SmarTrack, שהורשו להפעיל את המערכת. המערכות של החברה פשוט לא בדקו נכון שהפקודות נשלחות על ידי משתמש מורשה, טען מונרו.

    מונרו מזהיר ואומר כי לא ייתכן שמישהו יניע שוב את המכונית כשהאימובילייזר בידי ההאקר. לטענתו, האפשרות היחידה תהיה הסרת הטכנולוגיה לחלוטין. "כעת רק אנו שולטים במנוע, כך שרק אנחנו נוכל להשבית את המכונית".

    אגב, אם ההאקר מפעיל את האימובילייזר כשהמכונית בנסיעה, המנוע עלול להיעצר. דבר מסוכן על פי מונרו, בייחוד במכוניות שיש בהן את הפונקציה של התחלה ועצירה אוטומטית (תכונה כזאת נמצאת בדגמים מודרניים רבים כדי לעזור להפחית את הפליטות בתנועה).

    מונרו העביר ביקורת גם על חברת Thatcham Research, הגוף שהעניק הסמכה למכשירי SmarTrack ואמר כי הוא בטוח לשימוש. "אנשים קונים את המכשירים האלה במחשבה שהם קיבלו אישור לשימוש. הראנו שבמקרים מסוימים, המכשיר נגד גניבות הופך את המכונית שלך דווקא לפחות בטוחה", אומר מונרו.

    חברת תאצ'ם אמרה מנגד, כי היא מאשרת מוצרי אבטחה על פי רשימה מסודרת של בדיקות, שכוללת בדיקות פונקציונליות לזיהוי אזעקה וזיהוי הנהג. "התהליך כולל גם בדיקה במצב התקפה, בה המערכת ברכב צריכה להתנגד לביטול ההפעלה למשך שתי דקות", הוסיף הדובר. "עם זאת, אנו לא בודקים את האבטחה של מערכת הרכב או כל המערכות שמסביב".

    למרבה המזל, עבור לקוחות SmarTrack, הפגמים של המערכת טופלו. "כל הפגיעויות הפוטנציאליות נפתרו עתה", אמר דובר גלובל טלמטרית. "לקוחותינו יכולים להיות סמוכים ובטוחים כי שום סיסמה או פרטים אישיים לא נפגעו כתוצאה מתהליך זה ואין חשש לאבטחה או בטיחות באף אחד מהמוצרים שלנו. האבטחה תמיד הייתה ונשארה בעלת חשיבות עליונה עבורנו וכתוצאה מהמחקר, הערכנו כעת מחדש את פרויקט שיפור האבטחה המתמשך שלנו כדי להבטיח שנשאר מובילי שוק בתחום הביטחון והבטיחות".

    כדי לטפל בבעיות האבטחה שהתגלו, הביאה החברה את חברת הייעוץ בנושא אבטחת סייבר, Hedgehog Security. פיטר בסיל, מייסד הדג'הוג, אישר כי מה שמונרו טען שמצא היה מדויק. על היכולת לסגור 25 אלף מכוניות בבת אחת, אמר בסיל: "זו אחת מהטענות שחוקרי האבטחה גורסים, אבל בהחלט יש אפשרות להאמין שזה יכול היה לקרות, זה בטח היה לוקח זמן רב משורה אחת של קוד, אבל הייתכנות בהחלט אפשרית".

    לדבריו, ייתכן שהפגיעויות נוצרו כתוצאה ממפתחים שכתבו קוד ללא מספיק תשומת לב לאבטחה. בסיל עבד עם מפתחים חדשים בצוות SmarTrack בכדי לתקן את הפגיעויות ולהגדיר תהליכים כדי לוודא שבעיות יתוקנו במהירות בעתיד.

    המקרה הזה נפתר אבל הוא מלמד. וכפי שמזהירים בסיל ומונרו, ישנם מכשירים רבים, המותקנים במיליוני מכוניות ברחבי העולם. ואם אלו עשויים להכיל חולשות אבטחה, זה יכול להפוך במהירות רבה לנשק האחרון בארסנל של האקר.

  • גלריות
    מדורים
    דירוגים
    ראשי