روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گروهی از محققین امنیتی آسیب‌پذیری جدی‌ای را در پورتال وب کیا، این تولیدکننده خودروی کره جنوبی کشف کردند که اجازه می‌داد ماشین‌ها از راه دور هک شوند و صاحبانشان نیز ردیابی. برای انجام این هم چیزی نیاز نبود جز شماره پلاک خودروی قربانی. بیایید بیشتر به جزئیات بپردازیم.

خودورهای به شدت کانکتد

اگر بهش فکر کنید متوجه می‌شوید که در چند دهه‌ی اخیر، خودروها دیگر به کامپیوترهایی سوار بر چرخ تبدیل شده‌اند. حتی مدل‌های کمتر هوشمند هم به وسایل اکترونیکی با دامنه‌ای از حسگرها مجهزند (از سونارها و دوربین گرفته تا شناساگرهایی حرکتی و جی‌پی‌اس). و این همه ماجرا نیست: در سال‌های اخیر این کامپیوترها مدام به اینترنت (با همه خطرات ناشی از آن‌ها) وصل هستند. همین چند وقت پیش در این مورد نوشتیم که چطور خودروها کلی داده در مورد صاحبان خود جمع می‌کنند و آن را به تولیدکننده می‌فرستند. افزون بر این، تولیدکنندگان همچنین این داده‌های جمع‌آوری‌شده را به سایر شرکت‌ها خصوصاً بیمه‌گذاران نیز می‌فرستند. با این وجود، این مسئله بُعد دیگری هم دارد: مدام به اینترنت وصل بودن یعنی اگر آسیب‌پذیری‌ای باشد –خواه در خود خودرو  و خواه در سیستم کلودی که با آن در ارتباط است- فرد می‌تواند آن‌ها را برای هم سیستم اکسپلویت کرده و بدون اینکه تولیدکننده حتی در جریان باشد، صاحب خودرو را ردیابی کند.

یک باگ برای خرابکاری کافی است

این همان اتفاقی است که برای کیا افتاده. محققین آسیب‌پذیری‌ای در پورتال وب کیا که صاحبان خودرو و فروشندگان از آن استفاده می‌کنند پیدا کردند. کاشف بعمل آمد که با استفاده از API، این پورتال به هر کسی اجازه می‌داده تنها با چند حرکت ساده خود را فروشنده خودرو جا بزند. این به مهاجم دسترسی به قابلیت‌هایی را می‌دهد که حتی فروشنده خوردو هم نباید در اختیار داشته باشد- دست کم نه وقتی خودرو به مشتری تحویل داده شده! مشخصاً، این پورتال ابتدا اجازه پیدا کردن هر خودروی کیا و بعد دسترسی به داده‌های دارنده (نام، شماره تلفن، آدرس ایمیل و حتی آدرس فیزیکی) –همگی فقط با شماره VIN خودرو- را می‌دهد. شایان ذکر است که شماره‌های VIN دقیقاً اطلاعات محرمانه نیستند- در برخی کشورها آن‌ها به طور عمومی موجودند. برای مثال، در آمریکا کلی سرویس آنلاین وجود دارد که می‌توانید برای چک کردن شماره VIN با استفاده از شماره پلاک از آن‌ها استفاده کنید. مهاجم بعد از اینکه باموفقیت خودرو را پیدا کرد، می‌تواند برای ثبت اکانت کنترل‌شده‌ی مهاجم در سیستم کیا به عنوان کاربر جدید خودرو، داده‌های صاحب ماشین را استفاده کند. از آنجا، فرد مهاجم به ویژگی‌های مختلف که به طور معمول در اختیار دارنده واقعی خودرو ازطریق اپ موبایل قرار می‌گیرد دسترسی پیدا می‌‌کند. آنچه بسیار جالب است این است که این قابلیت‌ها نه تنها برای فروشنده که خودرو را فروخت بلکه برای هر فروشنده دیگری که در سامانه کیا ثبت‌نام کرده موجود و قابل‌دسترسی بوده است.

هک خودرو ظرف تنها چند ثانیه

محققین سپس اپ آزمایشی درست کردند که می‌توانست ظرف چند ثانیه با وارد کردن شماره پلاک در فیلدهای ورودی، کنترل خودروی کیا را در دست گیرد. این اپ به طور خودکار VIN خودرو را از طریق سرویس مربوطه پیدا و از آن برای ثبت خودرو در اکانت محققین استفاده کرد. بعد از آن، فشار یک دکمه در اپ به مهاجم اجازه می‌داد تا به مختصات فعلی خوردو دست یابد، درب‌ها را قفل کرده یا از حالت قفل درآورد، استارت زده یا ماشین را خاموش کند و یا بوق بزند. مهم است در نظر داشته باشید که در بیشتر موارد این قابلیت‌ها برای سرقت خودرو کافی نیست. مدل‌های مدرن معمولاً به ایموبولایزرها مجهزند که برای غیرفعال کردن آن نیاز به حضور فیزیکی کلید دارند. اینها استثنا هستند اما معمولاً ارزان‌ترین خودروهایی هستند که بعید است خیلی باب دندان سارقین باشند. با این وجود، چنین آسیب‌پذیری‌ای می‌تواند براحتی برای ردیابی دارنده خودرو، سرقت اشیاء گرانبها که در ماشین جا مانده (یا کار گذاشتن چیزی در داخل) یا صرف مختل کردن زندگی راننده با یک سری اقدامات غیرمنتظره از سوی خودرو استفاده شود. محققین از پروتکل افشای مسئولانه پیروی و سازنده را از این مشکل مطلع کردند و تنها پس از رفع اشکال کیا، یافته‌های خود را منتشر کردند. با این حال، آنها خاطرنشان می‌کنند که قبلاً آسیب‌پذیری‌های مشابهی پیدا کرده‌اند و مطمئن هستند در آینده به کشف موارد بیشتری ادامه خواهند داد.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.