روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ هر خودروی مدرنی در اصل کامپیوتری روی چهار چرخ است و همچنین خیلیهایشان به اینترنت نیز متصلند. در نتیجه علاوه بر خود وسایل نقلیه سازندگان خودرو اکنون در حال توسعه اپهایی هستند برای کنترل آنها از راه دور. اینها را میتوان برای چک کردن موقعیت مکانی خودرو، روشن کردن بخاری یا کولر آن، قفل یا باز کردن قفل درها و غیره استفاده کرد. با این وجود، کاربران مختلف نیازهای متفاوتی دارند و نمیشود همه قابلیتها را تنها در یک اپ واحد گنجاند. پس علاوه بر نرمافزاری ساخت سازندگان خودرو اپهای طرفسوم هم وارد میدان میشوند تا نیازهای کاربران بنا به جیب و سلیقهشان تأمین گردد. شاید این اتفاق راحتی را برای کاربران رقم بزند اما آیا بُعد امنیتی به خطر نمیافتد؟ با ما همراه شوید تا به این مبحث بپردازیم.
چه کسی دارد خودروی شما را میراند؟
برای اینکه خودرو بداند این شمایید که دارید از اپ استفاده میکنید میبایست نام کاربری و پسورد وارد کنید. اگر از اپ خود سازنده خودرو استفاده میکنید اطلاعات محرمانهتان به دست طرفسومها نخواهد افتاد که خوب چیز خوبیست. و استانداردهای امنیتی برای تولیدکنندگان خودرو وجود دارد که محصولاتشان باید آنها را رعایت کنند. ما اگر اپ طرفسومی را با قابلیتهای منحصر به فرد که در اپ رسمی وجود ندارند انتخاب کردید به وسیله نقلیه یا دادههای تلهمتریِ آن نیاز است. برخی اپها از راهکارهایی استفاده میکنند که مشخصاً برای همین هدف طراحی شدند و از شما اطلاعات محرمانه نخواسته و دسترسی محدود به وسیله نقلیه در اختیارشان قرار میگیرد. این به شما اجازه میدهد تا از کاراییشان استفاده کنید اما در عین حال نگذارید دست به کارهای خطرناک مانند باز کردن قفل دربها بزنند. این اپها تا حدی امن هستند اما تعدادشان خیلی کم است. بیشتر خودروهای متصل[1] برای اکانت شما با تولیدکننده به نام کاربری و پسورد نیاز دارند یعنی دسترسی کامل به اکانت شما! در عین حال الزامات امنیتی لحاظشده برای سازندگان خودرو نیز از اینها تجاوز نمیکند و درست همینجاست که مشکلات سر بر میآورند.
اعتماد، همهچیز است
تمرکز اصلی این مقاله روی اپهای موبایل طرفسوم است که از اکانت دارنده خودرو با تولیدکننده استفاده میکنند. شوربختانه بیش از نیمی از توسعهدهندگان اپ خطرات افشای اکانت را به کاربران خود گوشزد نمیکنند. آنهایی که هشدار را میدهند تضمین میکنند که یا اطلاعات محرمانه را اصلاً ذخیره نخواهند کرد و یا در قالب رمزگذاریشده این کار را انجام خواهند داد. برخی از آنها نیز تأکیدشان بر این است که نام کاربری و رمزعبور فقط برای گرفتن توکن مجوز نیاز است. با این وجود توکن به هر کسی اجازه میدهد تا به جای شما از اکانت استفاده کند؛ درست مانند اطلاعات لاگین و اگر به درستی ذخیره نشده باشد نیز احتمال نشت آن وجود دارد. افزون بر این، هیچ راهی هم برای بررسی نحوه مدیریت اطلاعات محرمانه شما وجود ندارد: یا باید به توسعهدهندگان اعتماد کنید یا از اپ استفاده نکنید. تازه، توسعهدهندگان 14 درصد اپهایی که محققین ما رویشان بررسی انجام دادند ثابت کردند در صورت بروز هر مشکل نمیشود با آنها ارتباط گرفت: جزئیات تماس روی وبسایتهایشان یا وجود نداشته یا اگر بوده پاک شده. همین مشکل برای سرویسهای وبی هم وجود دارد: کاربر بدون اینکه بداند اطلاعات محرمانهاش چطور ذخیره و پردازش میشود آنها را ارائه میدهد. راهکارهای منبع باز از این جهت شفافیت بیشتری دارند:
کاربران اهل فناوری و خبره دستکم کد را بررسی میکنند. با این حال برای مردمان عادی که پسزمینهای از فناوری ندارند سر درآوردن از این چیزها بسیار سخت است. مشکل دیگر این است که سرویسهای واسط هم وجود دارند که سیستمهای سازنده خودرو را به اپهای طرفسوم لینک میکنند. اینها توسط توسعهدهندگان اپهای خودرو و سرویسهای وبی استفاده میشوند اما شاید چیزی باشند که کاربران اصلاً در موردشان تصوری ندارند. و مهم است درک کنیم که اگر اپ خودروی طرفسوم مورد نظر شما توسط سرویس واسط کار میکند توسعهدهندگان هر دو اطلاعات محرمانه شما را در دست دارند.
اپهای طرفسومی که به خودروی شما دسترسی دارند: خطرش در چیست؟
اگر اطلاعات محرمانه شما به طور امنی ذخیره نشده باشند، مهاجمین میتوانند بدانها رخنه کنند. آنها شاید قصد سرقت خودروی شما را نداشته باشند اما میتوانند سیستمهای مختلف را از راه دور کنترل کنند: درها و پنجرهها، کنترل آب و هوا، بوق، نور بالای رندوم وقتی در حال رانندگی هستید که اگر خطرناک نباشد دست کم حس خوبی به راننده نمیدهد. یکجورهایی سناریو شبیه سناریوی فیلمهای جیمز باند است: چه کسی آخر با این روشها تصمیم به انهدام خودرو یا راننده میگیرد؟ اما واقعیت این است که اگر چنین دادههایی در دامنه عمومی نشت شوند افراد شرور آنلاین سراسر جهان که تعدادشان کم هم نیست میتوانند دست کم برای تفریح هم که شده شروع به سوءاستفاده از این اطلاعات کنند و عواقبش را هم خود میدانید! تازه اگر اپ هک هم بشود مهاجمین به کل دادههای جمعآوریشده دسترسی پیدا خواهند کرد؛ مانند ژئولوکیشن. همین میتواند راهی باشد برای ردیابی حرکات دارندگان خودرو- باری دیگر بگوییم، از هر جای جهان!
بگذارید نمونهی اخیر را شرح دهیم: همین چن وقت پیش متخصص 19 سالهی ما دیوید کلومبو تصادفی آسیبپذیری را در اپ تسلامیت که مخصوص جمعآوری، ذخیره و تجسمسازی داده تلهمتری وسایل نقلیه تسلاست کشف کرد. او تصمیم گرفت سر درآورد صاحبان خودروها کجا زندگی میکنند به کجا رانندگی میکنند، ماشینها را کجا پارک کرده و کجا آنها را شارژ نموده و چه آپدیتهایی روی آن خودروها نصب است. گرچه خود اپ فط برای جمعآوری داده طراحی شده بود –نهبرای کنترل خودرو- اما دیوید تصمیم داشت این کار را بکند. و چون ذخیرهگاه اطلاعات محرمانه کاربر وجود داشت قابلدسترسی هم بود دیوید موفق شد. او مسئله را به توسعهدهندگان اپ گزارش داد و آنها خیلی سریع باگ را برطرف کردند. شاید پایان داستان خوش بود اما این نشان میدهد اپهای خودروی طرفسوم ممکن است آنطور که توسعهدهندگان از آن دم میزنند قابلاطمینان نباشند.
راهکار امنیتی
این را هم نمیشود گفت که همه اپهای طرفسوم هم غیرقابلاعتمادند. به هیچ وجه همه توسعهدهندگان هم نسبت به امنیت داده کاربری بیتفاوت نیستند. آنطور که ما مشاهده کردیم سازندگان تسلامیت خیلی سریع به گزارش دیوید در مورد آن آسیبپذیری واکنش نشان دادند و همانطور که قبلاً هم اشاره کردیم اپهایی وجود دارند که تمام دسترسی را هم به اکانت شما با سازنده خودرو درخواست نمیکنند. این یعنی اگر میخواهید از قابلیتهایی استفاده کنید که اپ بومی وسیله نقلیه شما ندارد موقع انتخاب حواستان باشد که:
- چک کنید ببینید آیا باید اکانت خود را با سرویس پاک کنید یا از حالت اشتراک خارج کنید یا نه.
- محض احتیاط، پسورد اکانت خود را با سازنده خودرو تغییر دهید.
- در صورت امکان، دسترسی اپ را به اکانت از طریق وبسایت تولیدکننده یا پشتیبانی فنی ببندید.
[1] Connected cars
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
