פרטיות מידע, עדכוני תוכנה ואפליקציות ייעודיות לכלי רכב מחוברים, הם שלושה תחומים במסגרתם עברייני הרשת יכולים ליזום התקפות
מעבדת קספרסקי ו- IAB, חברת השיווק והמדיה הדיגיטלית המובילה בספרד, הכריזו על השקת המחקר השנתי הראשון בנושא רכב מחובר (Connected Cars). היעד המרכזי של המחקר הוא לספק סקירה על שוק כלי הרכב המחוברים, תוך איחוד כל המידע הנדרש כדי לענות על מספר שאלות בוערות, וכדי להביא אחדות מסוימת לסביבת התוכנה המבוזרת מאוד שמוצעת כיום על ידי היצרנים. ויסנט דיאז, חוקר אבטחה ראשי במעבדת קסרפסקי, היה אחראי על ביצוע “הוכחת קיימות” לגבי ניתוח בעיות האבטחה של חיבור כלי רכב לאינטרנט.
אנשי התעשייה כבר אינם יכולים להתעלם מבעיות אבטחה הקשורות בתקשורת ובשירותי האינטרנט הכלולים בדור החדש של הרכב המחובר. מדובר בהרבה יותר מאשר פשוט לחנות את הרכב בביטחה – היום מקיף התחום גם את הגישה לרשתות חברתיות, דואר אלקטרוני, קישוריות סמארטפונים, חישוב מסלולים, אפליקציות פנימיות ברכב, ועוד. טכנולוגיות אלה מציעות יתרונות גדולים עבור הנהגים, אבל גם מביאות עימן סיכונים חדשים למשתמשים. זו הסיבה שבגללה חיוני לנתח את האפיקים השונים שיכולים להוביל להתקפות סייבר, תאונות או אפילו הונאות באחזקת הרכב
פרטיות מידע, עדכוני תוכנה ואפליקציות סמארטפון לרכב מחובר יכולים להפוך לשלושה אפיקי תקיפה שונים מצד עברייני הרשת. “רכב מחובר יכול לפתוח שער לאיומים הקיימים בעולם המחשבים האישיים והסמארטפונים. לדוגמא, הבעלים של רכב מחובר עלולים לגלות כי הסיסמאות שלהם נגנבו, מה שיחשוף את מיקום הרכב ויאפשר לדלתות להיפתח מרחוק. בעיות פרטיות הן קריטיות, ואנשי תעשיית הרכב כיום חייבים להיות מודעים לסיכונים חדשים שפשוט לא היו קיימים בעבר”, אמר דיאז.
“הוכחת הקיימות” שביצעה מעבדת קספרסקי, תוך ניתוח מערכת ConnectedDrice של BMW, זיהתה מספר ערוצי התקפה אפשריים:
הרשאות שנגנבו: גניבת ההרשאות הנדרשות כדי לגשת לאתר BMW – תוך שימוש באמצעים מוכרים כגון פישינג, הקלטת הקלדה או הנדסה חברתית – יכולה להביא לגישה בלתי מורשית של גוף חיצוני אל נתוני משתמש ואז אל הרכב עצמו. מכאן, ניתן להתקין אפליקציה ניידת באמצעות אותן הרשאות, ואולי לאפשר שליטה מרחוק לפני פתיחת המכונית ובמהלך הנסיעה בה.
אפליקציות ניידות: אם אתה מפעיל את פתיחה מרחוק של הרכב ממכשיר נייד, אתה למעשה יוצר סט חדש של מפתחות לרכב שלך. אם האפליקציה אינה מאובטחת, כל מי שגונב את המכשיר הנייד יכול לקבל גישה לרכב שלך. עם טלפון גנוב יהיה אפשרי לשנות אפליקציות בסיסי נתונים, ליצור מעקף של כל קוד אימות PIN, ולאפשר לעברייני רשת להפעיל אופציות שליטה מרחוק.
עדכונים: דרייברים של מערכת בלוטות’ מעודכנים באמצעות הורדת קובץ מאתר BMW והתקנתם דרך USB. קובץ זה אינו מוצפן או חתום, והוא כולל מידע רב אודות המערכות הפנימיות הפועלות ברכב. הדבר מאפשר לתוקף פוטנציאלי גישה לסביבה ממוקדת, ויכול גם לעבור שינוי כדי להריץ קוד זדוני.
תקשורת: פונקציות מסוימות מתקשרות עם ה- SIM בתוך הרכב באמצעות תקשורת SMS. פריצה לתוך ערוץ תקשורת זה מאפשר לשלוח הוראות מזויפות בהתבסס על רמת ההצפנה של המפעיל. בתרחיש הגרוע, עבריין יכול להחליף את התקשורת של BMW עם הוראות ושירותים משלו.
המחקר גם בחן את התקשורת המקוונת ואת האפליקציות המובילות בתעשיית הרכב הספרדית, וכן סקר מודלים עסקיים ומגמות עתידיות בפלטפורמות הקישוריות בשוק. הדוח מנתח 21 מודלים של רכבים, והממצאים המרכזיים שלו הם:
– מערכות הפעלה, מצבי קישוריות ואפליקציות הם מבוזרים מאוד
– שירותים חינמיים הם מוגבלים בזמן: יצרנים רבים מציעים מנוי חינם לזמן מוגבל בלבד
– בעיות כיסוי: שירותים מקוונים רבים דורשים קישוריות 3G
– שימוש בנתונים: משתמשים מסויימים ידרשו לשלם עבור נתונים נוספים
– סיוע קולי: רוב דגמי הרכב משתמשים בכך כאחד הדרכים הבטוחות ביותר לשלוט בקישוריות
