كشف بحث أجرته شركة Pen Test Partners عن وجود نظامين إنذارين ذكيين للسيارات يوصلان لثغرات أمنية حرجة تسببت في تعرض ثلاثة ملايين سيارة على مستوى العالم لخطر الاختطاف.
ويستطيع المستغل لتلك الثغرات من إبطال عمل أجهزة الإنذار وتعقب وفتح السيارة المزودة به. و تمكن الباحثون كذلك من استكشاف المحادثات داخل السيارة من خلال ميكروفون مدمج في أحد أنظمة الإنذار، وحتى أنه يمكن من خلال الثغرة تشغيل محرك السيارة أو فصله أثناء سيرها.
أثرت العيوب في أنظمة الإنذار التي تتيح التحكم في السيارات عبر تطبيقات الهواتف الذكية المتصلة بها، والتي تم تصنيعها من قبل شركتين هم شركة Pandora الروسية، وشركة Viper ومقرها الولايات المتحدة الأمريكية (والتي تحمل علامة كليفورد في المملكة المتحدة). وقد وصف السابق منتجاته بأنها “غير قابلة للاختراق”، وذلك وفقًا أيضا لما ذكره التقرير.
من السهل كشفها و إصلاحها
وجد الباحثون أن “واجهات برمجة التطبيقات” للتطبيقات قد فشلت في المصادقة بشكل صحيح على بعض الطلبات، وخاصة طلبات تغيير كلمة المرور أو عنوان البريد الإلكتروني. ومهد هذا الطريق للاستيلاء على الحساب بشكل كامل.
وكتبوا “ببساطة عن طريق التلاعب بالمعلمات، يمكن تحديث عنوان البريد الإلكتروني المسجل للحساب دون مصادقة، وإرسال إعادة تعيين كلمة المرور إلى العنوان المعدل (أي المهاجم) وتولي الحساب”. ومع وجود الحساب في أيديهم، تمكن القراصنة الأخلاقيون أيضًا من السيطرة على السيارة المرتبطة بالحساب.
بالإضافة إلى ذلك، بينما قام الباحثون بالفعل بشراء أنظمة الإنذار من أجل “الإثبات الكامل للمفهوم”، قالوا إن بإمكان أي شخص إنشاء حساب تجريبي للتوصل إلى حساب حقيقي. “يسمح كلا المنتجين لأي شخص بإنشاء حساب تجريبي. ومن خلال هذا الحساب التجريبي يمكن الوصول إلى أي حساب حقيقي والحصول على تفاصيله “، وفقًا لتقرير Pen Test Partners. الذين وصفوا العيوب بأنها” يسهل العثور عليها وسهلة الإصلاح “.
وحسب تقديرهم، اعترفت الشركتان بالثغرات والعمل على إصلاحها في غضون أيام من تلقي تنبيهات قراصنة القبعات البيضاء “الأخلاقيون”.