دهها هزار خودروی مجهز به سیستمهای تلهماتیک MyCar در معرض خطر نفوذ هکرها قرار گرفتهاند؛ آسیبپذیری این سیستمها پس از آن کشف شد که شرکت سازنده از باقی ماندن گواهینامههای کدهای سختافزاری روی اپلیکیشنهای تلفن همراه خبر داد. به گزارش ZDNet، یک محقق امنیتی بهتازگی کشف کرد سیستمهای تلهماتیک MyCar که توسط شرکت دیستریبیوشن اتوموبیلیتی (Automobility Distribution) کانادا به فروش میرسد، ضعف امنیتی دارند و پیدا کردن کدهای امنیتی آنها برای هکرها بسیار آسان است. تلهماتیک (Telematics) میانرشتهای است که بر ابزارهای ارسال، دریافت، ذخیره و تجزیه و تحلیل اطلاعات برای ناوبری خودرو تمرکز میکند. تلهماتیک شامل ارتباطات از راه دور، فناوری وسایل نقلیه، حملونقل جادهای، ایمنی جادهها، مهندسی برق (حسگر، ابزار دقیق، ارتباطات بیسیم و غیره) و علوم کامپیوتری (چندرسانهای، اینترنت و …) میشود.
هکرها میتوانند گواهینامههای کدهای سختافزاری را از کد منبع نرمافزار استخراج کرده و از آنها بهجای نام کاربری و رمز عبور کاربر برای برقراری ارتباط با سرور و هک کردن حساب کاربری کاربر هدف استفاده کنند. در نتیجهی چنین دسترسی، هکرها میتوانند توسط سیستمهای تلهماتیک MyCar با خودروی هدف ارتباط برقرار کرده و آن را مکانیابی کنند؛ البته دسترسی هکرها به این موارد محدود نمیشود و هکرها میتوانند خودرو را از راه دور قفل یا باز کرده و حتی بدون اجازه مالک آن را روشن یا خاموش کنند. اپلیکیشن تلفن همراه MyCar قابلیتهای زیادی برای صاحبان وسایل نقلیه مجهز به این فناوری فراهم میکند؛ از جمله این قابلیتها میتوان به گرم کردن کابین خودرو در زمستان، خنک کردن کابین در تابستان، قفل یا باز کردن درها از راه دور، فعال و غیرفعال کردن سیستم امنیتی خودرو اشاره کرد. اپلیکیشن MyCar حتی میتواند برای قرار دادن و پارک کردن خودرو در مکانهایی مانند پارکینگ استفاده شود. جالبتر اینکه فرایند نفوذ و هک از ابتدای ایجاد حساب کاربری ممکن میشود. هنگام ایجاد حساب کاربری، داشتن یک API برای بررسی معتبر بودن آدرس ایمیل ضروری است. اما به نظر میرسد که با هر نوع API میتوان اینکار را انجام داد که امنیت نرمافزار را زیر سؤال میبرد. یکی از محققان امنیتی که با نام مستعار Jmaxxz فعالیت میکند، چند ماه پیش به دیستریبیوشن اتوموبیلیتی هشدار داد که چنین ایرادی وجود دارد. دیستریبیوشن اتوموبیلیتی یکماه بعد با انتشار بهروزرسانی جدید، این مشکل را رفع کرد.
تعدادی از کارشناسان امنیتی میگویند استفاده از گواهینامههای کدهای سختافزاری در برنامهها، بهطور کلی امنیت آنها را پایین میآورد. دیستریبیوشن اتوموبیلیتی طی بیانیهای در توئیتر اعلام کرد: با وجود این مسئله، هیچ حادثه یا مشکلی برای حریم خصوصی کاربران در ارتباط با عملکرد اپلیکیشن MyCar یا توسط سیستمهای ما گزارش نشده است. اما جرایم مربوطبه خودروهای بدون کلید، به مشکلی بزرگ برای خودروهای جدید در اروپا تبدیل شده است و هر روز بر تعداد موارد گزارششده افزوده میشود. براساس تحقیقات انجامشده توسط شرکت خدمات خودرویی RAC بریتانیا و با استفاده از آمارهای مستقیم نیروهای پلیس، سرقت خودرو در انگلستان و ولز از ۶۵ هزار و ۷۸۳ مورد در سال ۲۰۱۳ به ۸۵ هزار و ۶۸۸ مورد در سال ۲۰۱۷ افزایش یافته است.
سارقان میتوانند دستگاه خاصی را ازطریق اینترنت خریداری کنند که به آنها اجازه میدهد سیگنال بین کلید و خودرو را در اختیار بگیرند. آنها ازطریق سیگنال کد ورودی ایجاد میکنند که به آنها امکان میدهد به داخل خودرو نفوذ کرده و استارت بزنند. به این ترتیب اگر سیستمهای امنیتی خودرو به آخرین فناوری روز مجهز نباشند، در مقابل حملات سارقان یا هکرها بسیار آسیبپذیر هستند.
دو خودروی محبوب بازار اروپا یعنی هاچبک فورد فیستا و فورد فوکوس برای مبارزه با سارقان با تکنولوژی جدید مجهز شدهاند. کلید این خودروها به حسگر حرکتی مجهز شده است که در صورت حرکت نکردن طی ۴۰ ثانیه، در حالت غیرفعال قرار میگیرد. به این معنی که کلید نمیتواند با خودرو ارتباط برقرار کند و در نتیجه سارقان و هکرها هم نمیتوانند از تجهیزات خود برای هک کردن اطلاعات استفاده کنند. سایمون هار، متخصص امنیت فورد در این زمینه گفت: دسترسی آنلاین به دستگاههایی که قابلیت هک کردن سیستمهای تلهماتیک را دارند، مشکلات زیادی برای فورد، صنعت خودروسازی و نیروهای پلیس ایجاده کرده است. ما خوشحال هستیم که با روشی ساده و مؤثر به این مشکل پاسخ دادیم و در محافظت از اموال مالکان خودرو، کمک کردیم. مالکان این خودروها در اروپا نیازی به خرید آخرین نسخه فیستا و فوکوس مجهز به فناوری جدید ندارند. مالکان آخرین نسل فورد فیستا و فورد فوکوس میتوانند کلید جدید را برای فیستا با قیمت ۸۵ دلار و برای فوکوس با قیمت ۹۴ دلار تهیه کنند.
ریچارد بیلیلد، مامور فنی ارشد مؤسسه تحقیقات Thatcham در این زمینه گفت: خبر خوبی برای صاحبان خودرو و صنایع خودروسازی است. ضعف شناختهشدهای در سیستمهای ورود بدون کلید خودروها وجود دارد و ما خوشحال هستیم که فورد پاسخی ساده و مؤثر برای حل این مشکل در مدلهای پرفروش خود ارائه میدهد. ما امیدوار هستیم که سایر خودروسازان نیز به همین شیوه اقدام کنند.
