روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ متخصصین امنیت اطلاعات شرکت Pen Test Partners توانستند خودرویی را با استفاده از سیستم هشدارش سرقت کنند. دیگر اینکه، سیستمهای امنیتی هکشده توسط محققین مذکور -Pandora و Viper SmartStart- به طور گستردهای دارند استفاده میشوند: محققین اینطور برآورد کردهاند که حدود 3 میلیون خوردو این دو سیستم امنیتی را نصب کردهاند.
راحتی در ازای چه؟ در ازای امنیت؟
به طور نظری، سیستمهای هوشمند ضد سرقت چیزی بیش از صرفاً سیستمهای هشدارند؛ حتی اگر خوردو دزدیده هم شده باشد باز هم آنها میتوانند در این سرقت به صاحب خودرو کمک کنند. برای مثال، آنها میتوانند خودرو را ردیابی کنند؛ موتورش را از کار بیاندازند و پیش از ورود پلیس، درها را قفل کنند. همهی اینها تنها از طریق اپی روی اسمارتفونتان انجام میشود. به همین راحتی مگر نه؟ اما امنیت آن را نیز صد در صد تضمین میکنید؟! به نقل از تولیدکنندگان خودرو، چنین سیستمهایی برای ارتقای دوچندانِ سطح امنیت خودروها طراحی شدهاند. اما این فقط خودروی شما نیست که ممکن است سرقت شود؛ مجرم سایبری میتواند با سرقت اکانت شما و لاگین شدن به اپ (به نام شما) به حجم وسیعی از اطلاعاتتان و نیز تمام کارکردهای هشدار هوشمند شما دسترسی پیدا کند. با تغییر کوچکی روی رمزعبورتان دیگر نخواهید توانست به سیستم دسترسی پیدا کنید و آنوقت است که مهاجم قادر خواهد بود تا:
- تمام حرکات خودرو را ردیابی کند
- سیستم هشدار را فعال و غیرفعال کند
- درهای خودرو با قفل کرده و بعد قفلش را باز نماید
- سامانه ضد سرقت را فعال و غیرفعال کرده، و
- موتور را خاموش کند- در برخی موارد حتی وقتی خودرو در حال حرکت است
در مورد هشدارهای Pandora، مجرم سایبری همچنین میتواند مکالمات داخل ماشین را نیز با استفاده از میکروفون سامانه ضد سرقت استراقسمع کند، سامانهای که در اصل مخصوصِ برقراری تماسهای اضطراری است. به یاد داشته باشید که نمیتوانید جلوی این اقدامات را بگیرید زیرا تنها مهاجم است که به سیستم دسترسی دارد و نه کس دیگر.
سرقت هوشمند تنها در عرض چند ثانیه
این تیم تحقیقاتی پی برد که سرقت اکانت کاربریِ یک هشدار هوشمند نه تنها کاملاً ممکن است که حتی اصلاً هم سخت نیست. برای سرقت یک اکانت Viper یا Pandora حتی نیاز نیست خودِ هشدار را بخرید (که 5000 دلار قیمت دارد). در حال حاضر، برای دسترسی به این سیستم تنها کافیست اکانت را روی وبسایت و یا داخل اپ رجیستر کنید- و از آن برای دسترسی به اکانتی دیگر نیز استفاده کنید. مشکل هر دو سیستم مانند هم است: نحوهی تعامل اپ با سرور. با این حال، مکانیزم حمله شاید کمی تفاوت داشته باشد: در Viper مهاجم میتواند با ارسال درخواستی ویژه به سرور -جایی که اطلاعات در آن ذخیره میشود- به اطلاعات مهم کاربر دسترسی پیدا کند. و در سیستم Pandora داستان اینگونه است که هیچکس نمیتواند رمزعبور را ریست کند. با این حال، مجرم سایبری میتواند آدرس ایمیل لینکشده به پروفایل را بدون اجازه تغییر دهد و بعد از آن برای درخواستهای ریست رمزعبور (آن هم به صورت کاملاً قانونی) استفاده کند.
چه کار باید کرد؟
اول از همه خیلی هم هول برتان ندارد! محققین خیلی سریع نتایج تحقیق خود را به تولیدکنندههای خودرو گزارش دادند. تولیدکنندهها هم خیلی سریع توانستند به این بحران واکنش نشان دهند و بدینترتیب ظرف تنها چند روز تمامی نقاط آسیبپذیر سیستمهای هشدار خود را کور کردند. اما پیش از اینکه پژوهش حاضر انجام شود خودروهای مجهز به هشدارهای هوشمند از آنهایی که به این فناوری مجهز نبودند بیشتر در معرض رخنهی امنیتی قرار گرفته بودند. توصیهی ما به شما این است که در مورد راهحلهای هوشمند احتیاط کنید؛ خصوصاً وقتی بحث سیستمهای امنیتی میشود.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.