רכב מקושר Connected Car: מי שולט במכונית שלך? האם עברייני הסייבר?
מאת:
מערכת Telecom News, 20.2.17, 15:29
נבחנה אבטחת מידע באפליקציות אנדרואיד (שהורדו עד מיליוני פעמים) לשליטה מרחוק ברכבים מחוברים של מספר יצרני רכב מוכרים והתגלה, שכולן מכילות בעיות אבטחה מהותיות העלולות להיות מנוצלות ע"י עבריינים. מה עושים?
בשנים האחרונות יותר ויותר כלי רכב מתחברים באופן אקטיבי לאינטרנט. הקישוריות אינה כוללת רק מערכות בידור אלא גם מערכות רכב חיוניות, כגון מערכות נעילת דלתות והתנעה, שהפכו לנגישות כעת דרך האינטרנט.
בסיוע אפליקציות למכשירים ניידים ניתן כעת לקבל את מיקום הרכב ואת מסלולו, לפתוח את דלתות הרכב, להתניעו ולשלוט במכשור נוסף בתוך הרכב. מצד אחד, אפליקציות אלו יכולות להיות שימושיות מאוד. מנגד, נשאלת השאלה: האם וכיצד מאבטחים יצרני הרכב את האפליקציות האלה מפני איומי סייבר?
חוקרי מעבדת קספרסקי בחנו
7 אפליקציות שליטה מרחוק ברכב, שפותחו ע"י יצרני רכב מובילים. עפ"י נתוני
Google Play האפליקציות האלו הורדו עשרות אלפי פעמים, ובמקרים מסוימים, הגיעו גם ל-
5 מיליון הורדות. החוקרים גילו, שכל אחת מהאפליקציות שנבחנה הכילה מספר בעיות אבטחה.
רשימת בעיות האבטחה שנחשפו כוללת:
- היעדר הגנה מפני הנדסה לאחור של אפליקציות. כתוצאה מכך, משתמשים זדוניים יכולים להבין כיצד האפליקציה עובדת ולמצוא פרצות, שתאפשרנה להם גישה לתשתית השרת (server-side infrastructure) או למערכת המולטימדיה של הרכב.
- לא נעשו בדיקות לשלמות קוד. חסרונן מאפשר לעבריינים לשלב את הקוד שלהם באפליקציה ולהחליף את התוכנה המקורית במזויפת.
- אין טכניקות לזיהוי פרצות ליבה (Rooting). הרשאות ליבה מאפשרות לטרויאנים יכולות כמעט אינסופיות ומותירות את האפליקציה ללא הגנות.
- היעדר הגנה מפני טכניקות "מיסוך" (overlaying). הדבר מסייע לאפליקציות זדוניות להציג חלונות פישינג על פני האפליקציה האמיתית ולגנוב הרשאות של משתמשים.
- אחסון של סיסמאות בטקסט פשוט. באמצעות שימוש בחולשה זו, עבריינים יכולים לגנוב נתוני משתמשים בקלות יחסית.
ניצול הפרצות מאפשר למשל לתוקף לקבל שליטה על הרכב, לפתוח דלתות, לכבות את האזעקה, ובאופן תיאורטי לגנוב את הרכב.
כל אפיק תקיפה, שייבחר הפורץ, ידרוש הכנה נוספת, כגון שידול בעל האפליקציה להתקין אפליקציה זדונית, שהוכנה במיוחד, שתפרוץ לליבת המכשיר ותקבל גישה לאפליקציית הרכב. עם זאת, מומחי החברה הסיקו ממחקר, שביצעו לגבי אפליקציות זדוניות אחרות הממוקדות בגניבת הרשאות לבנקאות מקוונת, שהדבר לא יהווה מכשול רציני עבור עבריינים המנוסים בטכניקות של הנדסה חברתית, אם יחליטו לשים להם כמטרה רכבים מקושרים.
חוקרי החברה מייעצים למשתמשים של אפליקציות רכב לעקוב אחר האמצעים הבאים כדי להגן על רכבם ועל הנתונים האישיים שלהם מפני מתקפות סייבר אפשריות:
- אל תפרצו את ליבת מכשיר האנדרואיד, מאחר והדבר פותח פתח ליכולות בלתי מוגבלות של אפליקציות זדוניות.
- נטרלו את היכולת להתקין אפליקציות ממקור אחר מאשר חנויות האפליקציות הרשמיות.
- שמרו על את גרסת ה-OS של המכשיר מעודכנת, במטרה להקטין את מספר הפרצות בתוכנה ולהקטין את הסיכון להתקפה.
- התקינו פתרון אבטחה מוכח כדי להגן על המכשיר שלך מפני מתקפות סייבר.
ויקטור שבצייב, מומחה אבטחה, מעבדת קספרסקי: "המסקנה המרכזית של המחקר היא, שבמצב הנוכחי, אפליקציות לרכבים מקושרים אינן ערוכות לעמוד במתקפות קוד זדוני. כאשר בוחנים את נושא האבטחה ברכב מחובר צריך להסתכל מעבר לתשתית השרת. אנו צופים, שיצרני רכב יצטרכו לנקוט באותה הדרך בה נוקטים היום הבנקים ביחס לאבטחת האפליקציות שלהם. בהתחלה, אפליקציות לבנקאות לא הכילו את כל מאפייני האבטחה, שצוינו במחקר שלנו. כעת, לאחר מגוון מקרים של התקפות נגד אפליקציות בנקאות, בנקים רבים שיפרו את אבטחת המוצרים שלהם.
למרבה המזל, עדיין לא זוהה אף מקרה של התקפה נגד אפליקציות רכב, והמשמעות היא, שליצרנים עדיין יש זמן לעשות את הדברים נכון. כמה זמן יש להם בדיוק - אנו לא יודעים. טרויאנים מודרניים הם גמישים מאוד. יום אחד הם יכולים לפעול כמו קוד זדוני רגיל להצגת פרסומות, ולמחרת, הם יכולים בקלות להוריד תצורה חדשה, שתאפשר לתקוף אפליקציות אחרות. מישור ההתקפה הוא באמת עצום".
מידע נוסף על האיום על מכוניות מרושתות בדו"ח -
כאן.