هکرها توانستند سیستم هشدار هوشمند 3 میلیون خودرو را هک کنند

هکرها توانستند سیستم هشدار هوشمند 3 میلیون خودرو را هک کنند

محققان امنیتی یک آسیب پذیری چشم گیر در آلارم های ماشین های هوشمند پیدا کردند.
دو سیستم هشدار هوشمند نقص امنیتی مهمی را برای خودروها به وجود آوردند به نحوی که امکان ردیابی وسایل نقلیه، باز کردن درها و در بعضی موارد خاموش کردن موتور را برای هکر ها فراهم کرد.
این آسیب پذیری ها با دو روش ساده می تواند مورد سو استفاده قرار بگیرد، محققان امنیتی شرکای Pen Test روز جمعه این موضوع را اعلام کردند.
این مشکلات در سیستم های هشدار ساخته شده توسط Viper و Panodra، دو تا از بزرگترین تولید کنندگان سیستم های هوشمند خودرو در جهان به وجود آمد. این دو برند بیشتر از 3 میلیون مشتری دارند که توانایی خرید دستگاه هایی با هزینه های بالا را دارند. همانند سایر دستگاه های هوشمند، سیستم های هوشمند خودرو راحتی را برای مردم فراهم می کند، به صاحبانشان این امکان را می دهند که حتی از فاصله ی دور خودروی خود را پیدا کنند و یا در آن را از طریق تلفن همراه خودر باز کنند.

ضعف سیستم ایمنی خودرو
شرکای Pen Test گفتند در اواخر ماه فوریه به مشکلات Viber و Pandora رسیدند و شرکت این مسئله امنیتی را در کمتر از یک هفته بر طرف کرد. آن ها نقص ها را در ماه اکتبر کشف کردند.
در بیانیه ای از Directed Electronic که مالک Viper است، شرکت اعلام کرد که این آسیب پذیری به صورت مخرب مورد استفاده قرار نگرفته است.
همچنین این شرکت اعلام کرد که ما سریعا برای تشخیص و اصلاح این مسئله امنیتی با تیم ارائه دهنده خدمات کار کردیم. بعد ازبررسی نتیجه گرفتیم که این آسیب پذیری یک نتیجه غیر منتظره از به روز رسانی سیستم اخیر توسط ارائه دهنده خدمات ما بود.
Pandora برای لحظاتی به درخواست نظر پاسخ نداد.
سیستم های هوشمند خودرو  مانند قفل های هوشمند، تلویزون ها و دوربین ها به حملات سایبری و نقص های امنیتی حساس هستند. رشد دستگاه های هوشمند به همراه اتصال آن به زندگی روز مره، اینترنت اشیا را به هدفی آسان برای ایجاد تهدیدهای امنیتی تبدیل کرده است.

هک سیستم ایمنی ماشین

این شرکت در سایت Pandora با افتخار می گوید از یک کد محاوره ای غیر قابل هک استفاده می کند که هیچ کس از آن استفاده نکرده و نخواهد کرد.
اما Ken Munro بنیان گذار شرکای Pen Test، متوجه شد که تیم او برای حل مشکل نیازی به هک سیستم هشدار هوشمند ندارد چرا که برنامه Pandora دریچه ای را به روی آن ها گشود. محققان همین مشکل را با برنامه Viper نیز پیدا کردند.
API هر دو برنامه برای درخواست های به روز رسانی به درستی اهراز هویت نشده بود. این موضوع شامل درخواست هایی برای تغییر رمز و یا ایمیل می شد.
Munro گفت تمام چیزی که تیم او باید انجام می داد، ارسال درخواست به هاست یک URL خاص بود تا آن ها دسترسی لازم برای تغییر رمز و یا ایمیل را بدون آن که قربانی از این اتفاق آگاه شود، پیدا کنند,.
هنگامی که به یک حساب دسترسی داشتند، محققان کنترل کامل سیستم هشدار خودرو را در دست گرفتند. این موضوع امکان این را فراهم کرد که متوجه بشنود خودرو کجا است و همچنین بتوانند آن را باز کنند. Munro می گوید برای انجام این کار نیازی به نزدیک بودن به خودرو ندارید و از راه دور می توانید به حساب ها دسترسی پیدا کنید. 

ریسک های ایمنی

محققان امنیتی افزودند مهاجمان می توانند API برنامه ها را برای هدف قرار دادن خودروی خاصی استفاده کنند.
به طور معمول این سیستم های هشدار به وسایل نقلیه گران بها متصل می شوند.
در یک نسخه آزمایشی Munro روی خودرو رنجروور آزمایشی انجام داد که در آن تیم او سیستم هشدار هوشمند Viper را نصب کرده بودند. هنگانی که تیم در خودروی جداگانه آن را تعقیب می کرد، این خودرو با سرعت 54 مایل در ساعت حرکت میکرد.
راننده هنگامی متعجب شد که می دانست هشدار روی خودرو نصب است اما نمی دانست تیم Munro چگونه از آن استفاده می کند. Munro با استفاده از برنامه موتور خودرو را خاموش کرد بنابراین راننده خودرو را به کنار جاده هدایت کرد. خاموش کردن موتور یک ویژگی کاملا امنیتی است که بتوانند در زمانی که خودرو سرقت شده است آن را متوقف کنند. اما تیم Munro متوجه شدند که حتی زمانی که خودرو در حال حرکت است می توان موتور را خاموش کرد.
Munro در یک پست بلاگ گفت: مفاهیم ایمنی آن بسیار قابل ملاحظه هستند.
تیم امنیتی شرکت متوجه شد سیستم هشدار دهنده Pandora دارای یک میکروفون بود که به هکرها اجازه می دهد به مکالمه های خودرو گوش کنند.
Munro گفت پیدا کردن این نقص امنیتی زمان زیادی برای شرکای Pent Test نبرد اما پتانسیل زیادی برای ایجاد آسیب داشت. بسیار ساده، اما بسیار جدی.