هکران ادعا کرده اند که می توانند ۲۵۰۰۰ ماشین را تنها با فشار یک دکمه خاموش کنند
میلیون ها نفر از ما هر روزه برای محافظت از اتومبیل های خود در مقابل سارقان حرفه ای به فناوری اعتماد می کنیم. به عنوان مثال دارندگان ایموبلایزر با اطمینان بیان میکنند که تنها مالک کلید اصلی می تواند وسیله نقلیه خود را روشن کند.
اما گویا هم اکنون این فناوری دچار یک تهدید امنیتی بزرگ شده ، چراکه هکرها به فوربس گفتند که می توانند به طور همزمان قفل ۲۵,۰۰۰خودرو را باز کنند. در حقیقت آسیب پذیری این ایموبلایزرها (که در حال حاضر برطرف شده) باعث شده که هکرها بتوانند به سرعت، کنترل آن ها را از راه دور به دست گیرند و مانع از به حرکت دراوردن خودرو توسط راننده اصلی شوند.
قطعا شما فکر می کنید که ایموبلایزر اتومبیلتان خیلی خوب کار می کند. بعنوان مثال اگر سارقی ماشینتان را بدزدد ، این امکان وجود دارد که به سیستم ایموبلایزر خود متصل شوید و بتوانید وسیله نقلیه تان را ردیابی کنید و لذا مانع از روشن کردن موتور خودرویتان توسط فرد دیگری شوید. اما با وجود اسیب پذیری ایموبلایزر که یکی از ابزارهای ردیاب هوشمند ساخته شده توسط کمپانی Telemetrics است ، محققان Pen Test Partnersto به راحتی و بدون اینکه صاحبین خودرو متوجه شوند توانستند
خودروهایشان را روشن کنند.
برای اثبات این امر ، محققان شرکت امنیت سایبری Pen Test Partners انگلیس، وسیله نقلیه یکی از کارمندان خود را هک کردند و خودروی وی را در حالی که خودشان در انگلستان بودند ولی کارمند مورد نظر در یونان بود درست قبل از اینکه به مراسم عروسی دوستش برود غیرفعال نمودند.
“ما مالک ایموبلایزر شما هستیم”
کن مونرو ، یکی از محققین امنیت سایبری شاغل در Pen Test Partners ، در کنوانسیون DEF CON لاس وگاس در مورد این هک با فوربس گفت و گو کرد.این محقق بیان داشت که میتوان با ارسال یک درخواست ساده از طریق مرورگر ، ایموبلایزر را روشن و اتومبیل را خاموش کرد. هنگامی که دستور مورد نظر ارسال شود ، کمتر از یک ثانیه طول می کشد تا ایموبلایزر فعال گردد. در واقع سیستم ، مونرو را به عنوان یکی از کارمندان SmarTrack call در نظر میگیرد و به او اجازه میدهد که ایموبلایزر را روشن کند.. مونرو در این خصوص گفت در واقع سیستم های SmarTrack به بررسی این موضوع نمیپردازند که ایا دستورات توسط یک کاربر مجاز ارسال شده اند یا فردی در خارج از شبکه.
مونرو در ادامه سخنانش بیان کرد که روشن کردن خودرو با ایموبلایزری که هک شده، توسط صاحب خودرو غیرممکن خواهد بود. وی افزود که تنها گزینه این است که این فناوری به طور کامل حذف شده و مجددا مورد بررسی قرار گیرد..
بنابراین چون کنترل ایموبلایزر در دستان ماست، تنها کاری که می توانیم انجام دهیم این است که خودرو را از حرکت بازداریم. اگر هکر هنگامی که اتومبیل در حال حرکت است ایموبلایزر را روشن کند ، به محض اینکه خودرو متوقف شد نمیتوان ان را دوباره به حرکت در اورد. همانطور که مونرو خاطرنشان کرد ، اگر خودرو از نوع خودروهای اتومات باشد (چنین ویژگی در بسیاری از مدل های مدرن برای کمک به کاهش انتشار الودگی در هنگام ترافیک تعبیه شده است) “چنین موضوعی واقعا مشکلساز خواهد شد..
علاوه براین مونرو از Thatcham Research ، یعنی شرکت صنعتی ای که اعتبار دستگاه های SmarTrack را تایید کرده نیز انتقاد نمود و گفت: “مردم این وسایل را خریداری می کنند چون تصور می کنند که اینگونه وسایل دارای تاییدیه هستند. اما گاهی اوقات استفاده از ردیاب سرقت باعث می شود اتومبیل شما امنیت کمتری داشته باشد و لذا چنین مواردی اعتبار اینگونه دستگاهها را خراب میکنند.
سخنگوی Thatcham در این خصوص بیان داشت که این محصولات امنیتی از لحاظ برخی الزامات مهم از جمله قابلیت هشدار دهندگی و قابلیت شناسایی راننده تایید شده اند. وی افزود: روند ازمایش شامل یک آزمایش حمله نیز بود که در آن سیستم نصب شده بر روی وسیله نقلیه باید به مدت دو دقیقه در مقابل غیرفعال شدن دستی مقاومت میکرد. “با این وجود ، ما امنیت سیستم وسیله نقلیه یا محیط اطراف ان را تست نمی کنیم.”
هم اکنون مشکل رفع شده است
خبر خوب برای مشتریان SmarTrack ، این است که این نقص دیگر برطرف شده است. سخنگوی Telemetrics گفت: “حالا دیگر همه آسیب پذیری های احتمالی این دستگاه رفع شده است.” وی ادامه داد: “مشتریان ما می توانند مطمئن باشند که رمز عبور و یا اطلاعات شخصیشان در هنگام استفاده از این سیستم به خطر نمی افتد و هیچ نگرانی ای نیز درباره امنیت یا ایمنی هیچ یک از محصولات ما وجود ندارد.
“امنیت همیشه برای ما مهم بوده و حالا نیز همینطور است لذا ما توانستیم به وسیله تماس با شرکت Pen Peners ، پروژه بهبود امنیت خود را مجدداً ارزیابی نماییم تا اطمینان حاصل کنیم که همچنان در زمینه امنیت و ایمنی، پرچمداربازار خواهیم بود.
برای مقابله با این مسائل ، Global Telemetrics سیستم امنیتی سایبری Hedgehog را ارائه نموده است. پیتر باسیل ، بنیانگذار Hedgehog ، تأیید نموده مشکلی که مونرو بدان اشاره کرده مورد بررسی قرار گرفته و برطرف شده است. باسیل درباره توانایی خاموش کردن ۲۵,۰۰۰ اتومبیل به طور همزمان ، گفت: “این گونه سخنان ادعایی بیش نیستند اما مطمئناً احتمال وقوع چنین رویدادی با وجود این مشکل امکانپذیر بود. مطمئناً برای این کار به بیش از یک خط کد نیاز بود اما همانطور که گفتم چنین چیزی ممکن است.
وی گفت که چنین آسیب پذیری هایی به احتمال زیاد سبب میشوند که کد نویسان و برنامه نویسان در هنگام برنامه نویسی ، مسایل امنیتی را حتما مد نظر قرار دهند. در این راستا باسیل با طراحان جدید تیم SmarTrack همکاری نموده تا بتواند آسیب پذیری های موجود را برطرف کند و راهکارهایی را نیز برای اطمینان از رفع سریع مشکل در آینده اتخاذ نماید.
اما همانطور که باسیل و مونرو بیان نمودند ، میلیونها ایموبلایزر در سرتاسر جهان در میلیون ها اتومبیل مورد استفاده قرار می گیرند. با وجود بسیاری از دستگاههای مشابه که دارای نقاط ضعف یکسانی هستند ، چیزهایی که هر روز با اطمینان کامل از ان ها استفاده می کنیم میتواند خیلی سریع به آخرین اسلحه موجود در زرادخانه هکرها تبدیل شود.