▪︎ مجلس نيوز
كان من الممكن أن تسمح إحدى الثغرات التي تؤثر على خدمات المركبات المتصلة بشركة Sirius XM للمتسللين ببدء التشغيل عن بُعد ، وفتح القفل ، وتحديد موقع ، وميض الأضواء ، وإطلاق الزناد على السيارات. سام كاري ، مهندس أمني في Yuga Labs ، عمل مع مجموعة من الباحثين الأمنيين لاكتشاف الخلل وعرض النتائج التي توصلوا إليها في موضوع على تويتر (عبر جزمودو).
بالإضافة إلى توفير اشتراك في الراديو عبر الأقمار الصناعية ، فإن Sirius XM تشغل أيضًا أنظمة المعلومات والترفيه التي يستخدمها عدد من مصنعي السيارات ، بما في ذلك Acura و BMW و Honda و Hyundai و Infiniti و Jaguar و Land Rover و Lexus و Nissan و Subaru و Toyota . تجمع هذه الأنظمة مجموعة كبيرة من المعلومات حول سيارتك والتي يسهل إغفالها – ويمكن أن تشكل تداعيات محتملة على الخصوصية. العام الماضي ، أ تقرير من نائب لفت الانتباه إلى شركة تجسس خططت لبيع معلومات الموقع القائمة على تكنولوجيا المعلومات لأكثر من 15 مليار سيارة إلى حكومة الولايات المتحدة.
بينما تحصل أنظمة الاتصالات عن بُعد على بيانات حول موقع GPS الخاص بسيارتك ، والسرعة ، والتنقل خطوة بخطوة ، ومتطلبات الصيانة ، قد تتعقب بعض إعدادات المعلومات والترفيه سجلات المكالمات ، والأوامر الصوتية ، والرسائل النصية ، والمزيد. تسمح كل هذه البيانات للمركبات بتوفير ميزات “ذكية” ، مثل الكشف التلقائي عن الاصطدام ، وبدء تشغيل المحرك عن بُعد ، وتنبيهات السيارة المسروقة ، والملاحة ، والقدرة على قفل سيارتك أو فتحها عن بُعد. يقدم Sirius XM كل هذه الميزات وأكثر ، و يقول أكثر من 12 مليون سيارة على الطريق ، استخدم أنظمة المركبات المتصلة بها.
ومع ذلك ، كما يوضح كاري ، يمكن للممثلين السيئين الاستفادة من هذا النظام إذا لم يتم تطبيق الضمانات المناسبة. في بيان ل جزمودو، يقول كاري إن Sirius XM “بنى بنية تحتية حول إرسال / استقبال هذه البيانات وسمح للعملاء بالمصادقة عليها باستخدام شكل من أشكال تطبيقات الأجهزة المحمولة” ، مثل MyHonda أو Nissan Connected. يمكن للمستخدمين تسجيل الدخول إلى حساباتهم على هذه التطبيقات ، المرتبطة برقم VIN الخاص بمركبتهم ، لتنفيذ الأوامر والحصول على معلومات حول سياراتهم.
يوضح كاري أن هذا النظام هو الذي يمكن أن يمنح الجهات الفاعلة السيئة الوصول إلى سيارة شخص ما ، حيث يستخدم Sirius XM رقم VIN المرتبط بحساب الشخص لنقل المعلومات والأوامر بين التطبيق وخوادمه. من خلال إنشاء طلب HTTP لجلب ملف تعريف المستخدم باستخدام VIN ، يقول كاري إنه كان قادرًا على الحصول على اسم مالك السيارة ورقم الهاتف والعنوان وتفاصيل السيارة. ثم حاول تنفيذ الأوامر باستخدام VIN واكتشف أنه يمكنه التحكم عن بعد في السيارة ، مما يسمح له بقفلها أو فتحها ، وتشغيل السيارة ، وأداء وظائف أخرى.
يقول كاري إنه نبه سيريوس إكس إم بالخطأ وأن الشركة قامت بتصحيحه بسرعة. في بيان ل جزمودو، قالت الشركة إن الثغرة الأمنية “تم حلها في غضون 24 ساعة بعد تقديم التقرير” ، مشيرة إلى أنه “لم يتم في أي وقت اختراق أي مشترك أو بيانات أخرى ولم يتم تعديل أي حساب غير مصرح به باستخدام هذه الطريقة”. لم يستجب Sirius XM على الفور الحافةطلب التعليق.
بشكل منفصل ، كشف الكاري عن عيب آخر ضمن تطبيقي MyHyundai و MyGenesis التي من المحتمل أن تسمح للقراصنة باختطاف مركبة عن بُعد ، لكنه يقول إنه عمل مع صانع السيارات لإصلاح المشكلة. اكتشف قراصنة القبعة البيضاء مآثر مماثلة في الماضي. في عام 2015 ، كشف باحث أمني النقاب عن اختراق OnStar كان من الممكن أن يسمح للمهاجمين السيئين بتحديد موقع السيارة عن بُعد أو فتح أبوابها أو بدء تشغيل السيارة. في نفس الوقت تقريبا، تقرير من سلكي أظهر كيف جيب شيروكي يمكن اختراقها والتحكم فيها عن بعد مع وجود شخص يقود السيارة.