أُجبرت شركة سيريوس إكس إم المتخصصة في خدمات الراديو عبر الأقمار الصناعية في الولايات المتحدة، والمسئولة عن برامج المركبات المتصلة عبر العديد من العلامات التجارية للسيارات، على إصلاح عيب أمني سمح للمتسللين بإلغاء قفل أي طرازات هوندا ونيسان وإنفينيتي وأكورا وبدء تشغيلها وتحديد موقعها وتعديل برنامجها وإطلاقها عن بُعد .
كشف مخترق شهير اسمه سام كاري مؤخرًا عن ثغرة أمنية وقام بتفصيل العملية في سلسلة من التغريدات علي موقع تويتر.
بعد العثور على مجموعة من نقاط الضعف التي تؤثر على شركات السيارات المختلفة، بدأ كاري وفريقه في البحث عن خدمة كانت تقدم خدمات عن بعد لجميعهم. اكتشفت أنه تم استخدام سيريوس إكس إم في جميع المركبات المتأثرة ثم تم التأكد أنه من خلال استخدام تطبيق نيسان كونكت، من الممكن فحص وتعديل بروتوكول الإنترنت HTTP.
تم اكتشاف أن سيريوس إكس إم كانت تستخدم رقم تعريف المركبة الخاص بالمركبة لتفويض الأوامر وجلب ملفات تعريف المستخدمين. كشف المتسللون عن أسماء المالكين وأرقام الهواتف والعناوين وتفاصيل السيارة وتمكنوا أيضًا من تشغيل أوامر السيارة ببساطة من خلال معرفة رقم التعريف VIN للسيارة.
بعد فترة وجيزة من اكتشاف الثغرة الأمنية، أبلغ كاري وفريقه عن المشكلة إلى سيريوس إكس إم SiriusXM التي قامت بتصحيحها بسرعة.
مصادقة البيانات تمنع التسلل لحسابات وسيارات العملاء
قال متحدث باسم خدمات المركبات المتصلة بشركة سيريوس إكس إم “إننا نأخذ أمان حسابات عملائنا على محمل الجد ونشارك في برنامج مكافأة الأخطاء للمساعدة في تحديد وتصحيح العيوب الأمنية المحتملة التي تؤثر على منصاتنا. كجزء من هذا العمل، قدم باحث أمني تقريرًا إلى خدمات المركبات المتصلة بشركة سيريوس إكس إم بشأن عيب في التفويض يؤثر على برنامج اتصالات عن بُعد محدد. تم حل المشكلة في غضون 24 ساعة بعد تقديم التقرير. لم يتم اختراق أي مشترك أو أي بيانات أخرى في أي وقت ولم يتم تعديل أي حساب غير مصرح به باستخدام هذه الطريقة “.
كشف كاري أن مصنعي السيارات سمحوا للمالكين بمصادقة البيانات من خلال تطبيق جوال، مثل تطبيق نيسان كونكت وتطبيق ماي هوندا.
قال كاري “يبدو الأمر كما لو كان لديك هاتف محمول متصل بسيارتك ويمكن أن تتلقى وترسل رسائل نصية من السيارة تخبرها بما يجب أن تفعله أو تشارك حالة السيارة مع المرسل. في هذه الحالة، قاموا ببناء بنية تحتية حول إرسال / استقبال هذه البيانات وسمحوا للعملاء بالمصادقة عليها باستخدام شكل من أشكال تطبيقات الأجهزة المحمولة. بمجرد تسجيل العميل الدخول إلى حسابه وإرفاق رقم التعريف بالمركبة لحسابه، يمكنه الوصول إلى خط آمن، حيث يمكنهم تشغيل الأوامر وتلقي البيانات مثل الموقع والسرعة وما إلى ذلك من سيارتهم. “
شاهد أيضًا: