روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در فیلم سینمایی؛ Dude, Where’s My Car? (ساخته شده در سال 2000)، بینندگان داستان طنز آمیز دو جوان را دنبال می کنند که پس از یک مهمانی فراموش می کنند که ماشین خود را کجا پارک کرده اند. اکثر ما نیز شاید چنین موقعیتی را تجربه کرده باشیم، نه در حد کاراکترهای این فیلم اما در مواردی مانند پارکینگ کنسرتها، مراکز خرید و استادیوم ها فراموش کرده ایم که ماشین خود را دقیقاً کجا پارک کرده ایم.
حالا 17 سال پس از ساخت این فیلم، دیگر برای همه چیز اپلیکیشن های موبایل ساخته شده است، حتی برای خودروها. این خوش شانسی ماست که چنانچه یک اپلیکیشن بتواند بخشی از زندگی ما را راحت تر کند، عده ای وجود دارند که چنین اپلیکیشنی رو توسعه داده و عده زیادی از مردم از آن استفاده کنند.
در طول سالهای گذشته، طرح مفهمومی خودروهای متصل؛ جهت تکامل پیدا کردن، آنقدر ادامه پیدا کرد تا سرانجام به واقعیت تبدیل شد. در کنفرانس امسال RSA در سانفرانسیسکو، دو نفر از محققان بدافزار ما به نامهای Victor Chebyshev و Mikhail Kuzinبررسی های خود بر روی 7 اپلیکیشن محبوب برای وسایل نقلیه را ارائه دادند.
بنظر می رسد این اپلیکیشن ها با متصل کردن دستگاه های اندرویدی کاربران به خودروهایشان؛ زندگی آنها را آسان تر کرده اند. اما سوال ما اینجاست که آیا ما امنیت را با راحتی معامله کرده ایم؟ و با وجود تعداد بالای دستگاه های متصل به اینترنت اشیاء، جواب این است که، نیاز است که امنیت، اولویت بیشتری در بین توسعه دهندگان و تولید کنندگان داشته باشد.
فانکشنهای اصلی این اپلیکیشن ها درجهت باز کردن دربهای خوردرو و در موارد زیادی جهت روشن کردن خودرو می باشند. متاسفانه معایب موجود در این اپلیکیشن ها می تواند مورد سوءاستفاده مجرمین قرار بگیرد. معایبی چون:
عدم وجود محافظت در مقابل مهندسی معکوس اپلیکیشن. در نتیجه این عیب، تبهکارن می توانند به اپلیکیشن نفوذ کنند و آسیب پذیری هایی که به آنها امکان دسترسی به زیرساختهای سمت سرور و یا سیستم مولتی مدیا خودرو را می دهند، پیدا کنند.
عدم کنترل یکپارچگی کد. این عیب به مجرمان این امکان را می دهد تا کدهای خود را در کدهای اپلیکیشن ادغام کنند، قابلیتهای مخرب را اضافه کرده و نسخه تقلبی برنامه را با نسخه اصلی در دستگاه کاربر جایگزین کنند.
عدم استفاده از تشخیص تکنیک های روت. امکان روت قابلیتهای بی انتهایی را به تروجان ها می دهد و همچنین برنامه را بدون دفاع در مقابل سایر تهدیدها باقی می گذارد.
عدم محافظت در برابر تکنیک های همپوشانی. این مشکل اجازه می دهد اپلیکیشن های مخرب، پنجره های فیشینگ را روی پنجره های اپلیکیشن اصلی نمایش دهند، که کاربران فریب خورده و اطلاعات login خود را در این پنجره ها وارد می کنند که این اطلاعات برای مجرمین ارسال می شود.
عدم کد گذاری نام کاربری و کلمه عبور کاربران. با این ضعف، مجرمین به سادگی می توانند اطلاعات کاربران را سرقت کنند.
پس از سوءاستفاده موفقیت آمیز، فرد مهاجم می تواند کنترل خودرو را به دست گیرد، درب ها را باز کند، دزدگیر را خاموش کند و از لحاظ تئوری حتی خودرو را به سرقت ببرد.
محققان ما یافته های خود را به توسعه دهندگان این اپلیکیشن ها ارائه داده اند(آنها نام این اپلیکیشن ها را بطور عمومی فاش نکرده اند). و همچنین به آنها گفته شده است که هیچگونه بهره برداری از این مشکلات امنیتی تاکنون دیده نشده است. گزارش کامل از جزئیات این مطلب را می توانید در این لینک که هر یک از اپلیکیشن ها بصورت جداگانه ارزیابی شده است مطالعه کنید.
ساده است که سر خود را داخل برف کنیم و بگوییم ما هک نخواهیم شد و این ها داستانهای علمی تخیلی هستند، اما واقعیت این است که از زمان اختراع خودروها، آنها یکی از اهداف مجرمین بوده اند، و اگر با وجود امکان هک کردن، این امر آسان تر شود، تصور کنید مجرمین چقدر از این امکان استقبال خواهند کرد.
موضوع دیگری که باید به خاطر بسپاریم این است که ما قبلاً مشاهده کردیم که این آسیب پذیری ها هکرهای کلاه سفید باهوش را قادر ساخت با استفاده از یک "آسیب پذیری خوش خیم" کنترل یک خودرو را به دست بگیرند. دو مورد از بزرگترین داستان های خودرو در دو سال گذشته در مورد این بود که Charlie Miller و Chris Valasek چگونه با استفاده از آسیب پذیری ها، کنترل خودروی جیپ را در اختیار گرفتند.
در نهایت، امنیت شخصی و قابلیت های اپلیکیشن ها نسبت به اولویت های کاربران از اهمیت کمتری برخوردار شده اند. اینکه ما با چه کسانی اطلاعاتمان را به اشتراک می گذاریم یا راحتی خود را به آنها واگذار می کنیم واقعا به خود ما بستگی دارد. با وجود ابزارها و اپلیکیشن هایی که از تکنولوژی اینترنت اشیاء استفاده می کنند، در بیشتر موارد راحتی ما پیش از امنیت درنظر گرفته شده است.
در پایان، یادداشت Chebyshev:
"اپلیکیشن های خودروهای متصل آماده مقابله با حملات بدافزارها نیستند. ما انتظار داریم که تولیدکنندگان خودرو همان راهی که بانکها برای اپلیکیشن های خود پیش گرفته اند را برگزینند... پس از حملات متعدد علیه اپلیکیشن های بانکی، تعداد زیادی از بانک ها امنیت محصولات خود را ارتقاء داده اند.
خوشبختانه، ما تاکنون هیچ موردی در خصوص حمله به اپلیکیشن های خودرو را شناسایی نکرده ایم، که این بدان معناست که خودرو سازان هنوز زمان کافی جهت درست کردن ایرادات موجود در اپلیکیشن های خودرو را دارند. اینکه آنها چقدر زمان دارند دقیقاً مشخص نیست. تروجان های مدرن بسیار انعطاف پذیر هستند- یک روز مثل یک ابزار تبلیغاتی مزاحم معمولی عمل می کنند، روز بعد آنها به راحتی می توانند پیکربندی جدیدی را که امکان مورد هدف قرار دادن اپلیکیشن های جدید را می دهد، دانلود کنند. سطح حمله در اینجا واقعاً وسیع می باشد."
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
