روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ متخصصین امنیت اطلاعات شرکت Pen Test Partners توانستند خودرویی را با استفاده از سیستم هشدارش سرقت کنند. دیگر اینکه، سیستم‌های امنیتی هک‌شده توسط محققین مذکور -Pandora و  Viper SmartStart- به طور گسترده‌ای دارند استفاده می‌شوند: محققین اینطور برآورد کرده‌اند که حدود 3 میلیون خوردو این دو سیستم‌ امنیتی را نصب کرده‌اند.

راحتی در ازای چه؟ در ازای امنیت؟

به طور نظری، سیستم‌های هوشمند ضد سرقت چیزی بیش از صرفاً سیستم‌های هشدارند؛ حتی اگر خوردو دزدیده هم شده باشد باز هم آن‌ها می‌توانند در این سرقت به صاحب خودرو کمک کنند. برای مثال، آن‌ها می‌توانند خودرو را ردیابی کنند؛ موتورش را از کار بیاندازند و پیش از ورود پلیس، درها را قفل کنند. همه‌ی اینها تنها از طریق اپی روی اسمارت‌فونتان انجام می‌شود. به همین راحتی مگر نه؟ اما امنیت آن را نیز صد در صد تضمین می‌کنید؟! به نقل از تولیدکنندگان خودرو، چنین سیستم‌هایی برای ارتقای دوچندانِ سطح امنیت خودروها طراحی شده‌اند. اما این فقط خودروی شما نیست که ممکن است سرقت شود؛ مجرم سایبری می‌تواند با سرقت اکانت شما و لاگین شدن به اپ (به نام شما) به حجم وسیعی از اطلاعات‌تان و نیز تمام کارکردهای هشدار هوشمند شما دسترسی پیدا کند. با تغییر کوچکی روی رمزعبورتان دیگر نخواهید توانست به سیستم دسترسی پیدا کنید و آنوقت است که مهاجم قادر خواهد بود تا:

• تمام حرکات خودرو را ردیابی کند
• سیستم هشدار را فعال و غیرفعال کند
• درهای خودرو با قفل کرده و بعد قفلش را باز نماید
• سامانه ضد سرقت را فعال و غیرفعال کرده، و
• موتور را خاموش کند- در برخی موارد حتی وقتی خودرو در حال حرکت است

در مورد هشدارهای Pandora، مجرم سایبری همچنین می‌تواند مکالمات داخل ماشین را نیز با استفاده از میکروفون سامانه ضد سرقت استراق‌سمع کند، سامانه‌ای که در اصل مخصوصِ برقراری تماس‌های اضطراری است. به یاد داشته باشید که نمی‌توانید جلوی این اقدامات را بگیرید زیرا تنها مهاجم است که به سیستم دسترسی دارد و نه کس دیگر.

سرقت هوشمند تنها در عرض چند ثانیه

این تیم تحقیقاتی پی برد که سرقت اکانت کاربریِ یک هشدار هوشمند نه تنها کاملاً ممکن است که حتی اصلاً هم سخت نیست. برای سرقت یک اکانت Viper یا  Pandora حتی نیاز نیست خودِ هشدار را بخرید (که 5000 دلار قیمت دارد). در حال حاضر، برای دسترسی به این سیستم تنها کافیست اکانت را روی وبسایت و یا داخل اپ رجیستر کنید- و از آن برای دسترسی به اکانتی دیگر نیز استفاده کنید. مشکل هر دو سیستم مانند هم است: نحوه‌ی تعامل اپ با سرور. با این حال، مکانیزم حمله شاید کمی تفاوت داشته باشد: در Viper مهاجم می‌تواند با ارسال درخواستی ویژه به سرور -جایی که اطلاعات در آن ذخیره می‌شود- به اطلاعات مهم کاربر دسترسی پیدا کند. و در سیستم  Pandora داستان اینگونه است که هیچ‌کس نمی‌تواند رمزعبور را ریست کند. با این حال، مجرم سایبری می‌تواند آدرس ایمیل لینک‌شده به پروفایل را بدون اجازه تغییر دهد و بعد از آن برای درخواست‌های ریست رمزعبور (آن هم به صورت کاملاً قانونی) استفاده کند.

چه کار باید کرد؟

اول از همه خیلی هم هول برتان ندارد! محققین خیلی سریع نتایج تحقیق خود را به تولیدکننده‌های خودرو گزارش دادند. تولیدکننده‌ها هم خیلی سریع توانستند به این بحران واکنش نشان دهند و بدین‌ترتیب ظرف تنها چند روز تمامی نقاط آسیب‌پذیر سیستم‌های هشدار خود را کور کردند. اما پیش از اینکه پژوهش حاضر انجام شود خودروهای مجهز به هشدارهای هوشمند از آن‌هایی که به این فناوری مجهز نبودند بیشتر در معرض رخنه‌ی امنیتی قرار گرفته بودند. توصیه‌ی ما به شما این است که در مورد راه‌حل‌های هوشمند احتیاط کنید؛ خصوصاً وقتی بحث سیستم‌های امنیتی می‌شود.