קספרסקי: הרכב המחובר הפך למציאות, אבל אינו מאובטח

אנשי התעשייה כבר אינם יכולים להתעלם מבעיות אבטחה הקשורות בתקשורת ובשירותי האינטרנט הכלולים בדור החדש של הרכב המחובר. מדובר בהרבה יותר מאשר פשוט להחנות את הרכב בבטחה – כך עולה מדו"ח חדש של קספרסקי (Kaspersky).

ענקית האבטחה הרוסית ו-IAB, חברת שיווק ומדיה דיגיטלית מספרד, הנפיקו את המחקר השנתי הראשון בנושא רכב מחובר (Connected Cars). היעד המרכזי של המחקר הוא לספק סקירה על שוק כלי הרכב המחוברים, תוך איחוד כל המידע הנדרש כדי לענות על כמה שאלות בוערות, וכדי להביא אחדות מסוימת לסביבת התוכנה המבוזרת מאוד שמוצעת כיום על ידי היצרנים. על פי המחקר, פרטיות מידע, עדכוני תוכנה ואפליקציות ייעודיות לכלי רכב מחוברים, הם שלושה תחומים במסגרתם עברייני הרשת עלולים ויכולים ליזום התקפות.

על פי ענקית האבטחה הרוסית, "היום מקיף התחום גם את הגישה לרשתות חברתיות, דואר אלקטרוני, קישוריות של טלפונים ניידים חכמים, חישוב מסלולים, אפליקציות פנימיות ברכב, ועוד. טכנולוגיות אלה מציעות יתרונות גדולים עבור הנהגים, אבל גם מביאות עימן סיכונים חדשים למשתמשים. לכן, חיוני לנתח את האפיקים השונים שיכולים להוביל להתקפות סייבר, תאונות או אפילו הונאות באחזקת הרכב".

ויסנט דיאז, חוקר אבטחה ראשי במעבדת קסרפסקי, היה אחראי על ביצוע "הוכחת קיימות" לגבי ניתוח בעיות האבטחה של חיבור כלי רכב לאינטרנט. לדבריו, "רכב מחובר יכול לפתוח שער לאיומים הקיימים בעולם המחשבים האישיים והאלפונים הניידים. לדוגמא, הבעלים של רכב מחובר עלולים לגלות כי הסיסמאות שלו נגנבו, מה שיחשוף את מיקום כלי הרכב ויאפשר לדלתות להיפתח מרחוק. בעיות פרטיות הן קריטיות, ואנשי תעשיית הרכב כיום חייבים להיות מודעים לסיכונים חדשים שפשוט לא היו קיימים בעבר".

אנשי קספרסקי ניתחו את מערכת ConnectedDrice של BMW, וזיהו כמה ערוצי התקפה אפשריים: האחד, הרשאות שנגנבו: גניבת ההרשאות הנדרשות כדי לגשת לאתר BMW – תוך שימוש באמצעים מוכרים כגון פישינג, הקלטת הקלדה או הנדסה חברתית – יכולה להביא לגישה בלתי מורשית של גוף חיצוני אל נתוני משתמש ואז אל הרכב עצמו. מכאן, ניתן להתקין אפליקציה ניידת באמצעות אותן הרשאות, ואולי לאפשר שליטה מרחוק  לפני פתיחת המכונית ובמהלך הנסיעה בה.

ערוץ תקיפה נוסף הוא אפליקציות ניידות: אם אתה מפעיל את פתיחה מרחוק של הרכב ממכשיר נייד, אתה למעשה יוצר סט חדש של מפתחות לרכב שלך. אם האפליקציה אינה מאובטחת, כל מי שגונב את המכשיר הנייד יכול לקבל גישה לרכב שלך. עם טלפון גנוב יהיה אפשרי לשנות אפליקציות בסיסי נתונים, ליצור  מעקף של כל קוד אימות PIN, ולאפשר לעברייני רשת להפעיל אופציות שליטה מרחוק.

עוד ערוץ, לפי ענקית האבטחה הרוסית, הוא עדכונים: דרייברים של מערכת בלוטות' מעודכנים באמצעות הורדת קובץ מאתר BMW והתקנתם דרך USB. קובץ זה אינו מוצפן או חתום, והוא כולל מידע רב אודות המערכות הפנימיות הפועלות ברכב. הדבר מאפשר לתוקף פוטנציאלי גישה לסביבה ממוקדת, ויכול גם לעבור שינוי  כדי להריץ קוד זדוני.

ערוץ תקיפה אפשרי אחר הוא תקשורת: פונקציות מסוימות מתקשרות עם ה-SIM בתוך הרכב באמצעות תקשורת SMS. פריצה לתוך ערוץ תקשורת זה, מאפשרת לשלוח הוראות מזויפות בהתבסס על רמת ההצפנה של המפעיל. בתרחיש הגרוע, עבריין יכול להחליף את התקשורת של BMW עם הוראות ושירותים משלו.

המחקר בחן גם את התקשורת המקוונת ואת האפליקציות הנפוצות בתעשיית הרכב הספרדית, וכן סקר מודלים עסקיים ומגמות עתידיות בפלטפורמות הקישוריות בשוק. הדו"ח מנתח 21 מודלים של רכבים, והממצאים המרכזיים שלו הם: מערכות הפעלה, מצבי קישוריות ואפליקציות הם מבוזרים מאוד; שירותים חינמיים הם מוגבלים בזמן: יצרנים רבים מציעים מנוי חינם לזמן מוגבל בלבד; בעיות כיסוי: שירותים מקוונים רבים דורשים קישוריות 3G שימוש בנתונים: משתמשים מסויימים ידרשו לשלם עבור נתונים נוספים; סיוע קולי: רוב דגמי הרכב משתמשים בכך כאחד הדרכים הבטוחות ביותר לשלוט בקישוריות.