روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هر خودروی مدرنی در اصل کامپیوتری روی چهار چرخ است و همچنین خیلی‌هایشان به اینترنت نیز متصلند. در نتیجه علاوه بر خود وسایل نقلیه سازندگان خودرو اکنون در حال توسعه اپ‌هایی هستند برای کنترل آن‌ها از راه دور. این‌ها را می‌توان برای چک کردن موقعیت مکانی خودرو، روشن کردن بخاری یا کولر آن، قفل یا باز کردن قفل درها و غیره استفاده کرد. با این وجود، کاربران مختلف نیازهای متفاوتی دارند و نمی‌شود همه قابلیت‌ها را تنها در یک اپ واحد گنجاند. پس علاوه بر نرم‌افزاری ساخت سازندگان خودرو اپ‌های طرف‌سوم هم وارد میدان می‌شوند تا نیازهای کاربران بنا به جیب و سلیقه‌شان تأمین گردد. شاید این اتفاق راحتی را برای کاربران رقم بزند اما آیا بُعد امنیتی به خطر نمی‌افتد؟ با ما همراه شوید تا به این مبحث بپردازیم.

چه کسی دارد خودروی شما را می‌راند؟

برای اینکه خودرو بداند این شمایید که دارید از اپ استفاده می‌کنید می‌بایست نام کاربری و پسورد وارد کنید. اگر از اپ خود سازنده خودرو استفاده می‌کنید اطلاعات محرمانه‌تان به دست طرف‌سوم‌ها نخواهد افتاد که خوب چیز خوبیست. و استانداردهای امنیتی برای تولیدکنندگان خودرو وجود دارد که محصولاتشان باید آن‌ها را رعایت کنند. ما اگر اپ طرف‌سومی را با قابلیت‌های منحصر به فرد که در اپ رسمی وجود ندارند انتخاب کردید به وسیله نقلیه یا داده‌های تله‌متریِ آن نیاز است. برخی اپ‌ها از راهکارهایی استفاده می‌کنند که مشخصاً برای همین هدف طراحی شدند و از شما اطلاعات محرمانه نخواسته و دسترسی محدود به وسیله نقلیه در اختیارشان قرار می‌گیرد. این به شما اجازه می‌دهد تا از کارایی‌شان استفاده کنید اما در عین حال نگذارید دست به کارهای خطرناک مانند باز کردن قفل درب‌ها بزنند. این اپ‌ها تا حدی امن هستند اما تعدادشان خیلی کم است. بیشتر خودروهای متصل[1] برای اکانت شما با تولیدکننده به نام کاربری و پسورد نیاز دارند یعنی دسترسی کامل به اکانت شما! در عین حال الزامات امنیتی لحاظ‌شده برای سازندگان خودرو نیز از این‌ها تجاوز نمی‌کند و درست همینجاست که مشکلات سر بر می‌آورند.

اعتماد، همه‌چیز است

تمرکز اصلی این مقاله روی اپ‌های موبایل طرف‌سوم است که از اکانت دارنده خودرو با تولیدکننده استفاده می‌کنند. شوربختانه بیش از نیمی از توسعه‌دهندگان اپ خطرات افشای اکانت را به کاربران خود گوشزد نمی‌کنند. آن‌هایی که هشدار را می‌دهند تضمین می‌کنند که یا اطلاعات محرمانه را اصلاً ذخیره نخواهند کرد و یا در قالب رمزگذاری‌شده این کار را انجام خواهند داد. برخی از آن‌ها نیز تأکیدشان بر این است که نام کاربری و رمزعبور فقط برای گرفتن توکن مجوز نیاز است. با این وجود توکن به هر کسی اجازه می‌دهد تا به جای شما از اکانت استفاده کند؛ درست مانند اطلاعات لاگین و اگر به درستی ذخیره نشده باشد نیز احتمال نشت آن وجود دارد. افزون بر این، هیچ راهی هم برای بررسی نحوه مدیریت اطلاعات محرمانه شما وجود ندارد: یا باید به توسعه‌دهندگان اعتماد کنید یا از اپ استفاده نکنید. تازه، توسعه‌دهندگان 14 درصد اپ‌هایی که محققین ما رویشان بررسی انجام دادند ثابت کردند در صورت بروز هر مشکل نمی‌شود با آن‌ها ارتباط گرفت: جزئیات تماس روی وبسایت‌هایشان یا وجود نداشته یا اگر بوده پاک شده. همین مشکل برای سرویس‌های وبی هم وجود دارد: کاربر بدون اینکه بداند اطلاعات محرمانه‌اش چطور ذخیره و پردازش می‌شود آن‌ها را ارائه می‌دهد. راهکارهای منبع باز از این جهت شفافیت بیشتری دارند:

کاربران اهل فناوری و خبره دست‌کم کد را بررسی می‌کنند. با این حال برای مردمان عادی که پس‌زمینه‌ای از فناوری ندارند سر درآوردن از این چیزها بسیار سخت است. مشکل دیگر این است که سرویس‌های واسط هم وجود دارند که سیستم‌های سازنده خودرو را به اپ‌های طرف‌سوم لینک می‌کنند. اینها توسط توسعه‌دهندگان اپ‌های خودرو و سرویس‌های وبی استفاده می‌شوند اما شاید چیزی باشند که کاربران اصلاً در موردشان تصوری ندارند. و مهم است درک کنیم که اگر اپ خودروی طرف‌سوم مورد نظر شما توسط سرویس واسط کار می‌کند توسعه‌دهندگان هر دو اطلاعات محرمانه شما را در دست دارند.

اپ‌های طرف‌سومی که به خودروی شما دسترسی دارند: خطرش در چیست؟

اگر اطلاعات محرمانه شما به طور امنی ذخیره نشده باشند، مهاجمین می‌توانند بدان‌ها رخنه کنند. آن‌ها شاید قصد سرقت خودروی شما را نداشته باشند اما می‌توانند سیستم‌های مختلف را از راه دور کنترل کنند: در‌ها و پنجره‌ها، کنترل آب و هوا، بوق، نور بالای رندوم وقتی در حال رانندگی هستید که اگر خطرناک نباشد دست کم حس خوبی به راننده نمی‌دهد. یک‌جورهایی سناریو شبیه سناریوی فیلم‌های جیمز باند است: چه کسی آخر با این روش‌ها تصمیم به انهدام خودرو یا راننده می‌گیرد؟ اما واقعیت این است که اگر چنین داده‌هایی در دامنه عمومی نشت شوند افراد شرور آنلاین سراسر جهان که تعدادشان کم هم نیست می‌توانند دست کم برای تفریح هم که شده شروع به سوءاستفاده از این اطلاعات کنند و عواقبش را هم خود می‌دانید! تازه اگر اپ هک هم بشود مهاجمین به کل داده‌های جمع‌آور‌ی‌شده دسترسی پیدا خواهند کرد؛ مانند ژئولوکیشن. همین می‌تواند راهی باشد برای ردیابی حرکات دارندگان خودرو- باری دیگر بگوییم، از هر جای جهان!

بگذارید نمونه‌ی اخیر را شرح دهیم: همین چن وقت پیش متخصص 19 ساله‌ی ما دیوید کلومبو تصادفی آسیب‌پذیری‌ را در اپ تسلامیت که مخصوص جمع‌آوری، ذخیره و تجسم‌سازی داده تله‌متری وسایل نقلیه تسلاست کشف کرد. او تصمیم گرفت سر درآورد صاحبان خودروها کجا زندگی می‌کنند به کجا رانندگی می‌کنند، ماشین‌ها را کجا پارک کرده و کجا آن‌ها را شارژ نموده و چه آپدیت‌هایی روی آن خودروها نصب است. گرچه خود اپ فط برای جمع‌آوری داده طراحی شده بود –نهبرای کنترل خودرو- اما دیوید تصمیم داشت این کار را بکند. و چون ذخیره‌گاه اطلاعات محرمانه کاربر وجود داشت  قابل‌دسترسی هم بود دیوید موفق شد. او مسئله را به توسعه‌دهندگان اپ گزارش داد و آن‌ها خیلی سریع باگ را برطرف کردند. شاید پایان داستان خوش بود اما این نشان می‌دهد اپ‌های خودروی طرف‌سوم ممکن است آنطور که توسعه‌دهندگان از آن دم می‌زنند قابل‌اطمینان نباشند.

راهکار امنیتی

این را هم نمی‌شود گفت که همه اپ‌های طرف‌سوم هم غیرقابل‌اعتمادند. به هیچ وجه همه توسعه‌دهندگان هم نسبت به امنیت داده کاربری بی‌تفاوت نیستند. آنطور که ما مشاهده کردیم سازندگان تسلامیت خیلی سریع به گزارش دیوید در مورد آن آسیب‌پذیری واکنش نشان دادند و همانطور که قبلاً هم اشاره کردیم اپ‌هایی وجود دارند که تمام دسترسی را هم به اکانت شما با سازنده خودرو درخواست نمی‌کنند. این یعنی اگر می‌خواهید از قابلیت‌هایی استفاده کنید که اپ بومی وسیله نقلیه شما ندارد موقع انتخاب حواستان باشد که:

• چک کنید ببینید آیا باید اکانت خود را با سرویس پاک کنید یا از حالت اشتراک خارج کنید یا نه.
• محض احتیاط، پسورد اکانت خود را با سازنده خودرو تغییر دهید.
• در صورت امکان، دسترسی اپ را به اکانت از طریق وبسایت تولیدکننده یا پشتیبانی فنی ببندید.

[1] Connected cars

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.