fbpx

إليكم كيف يقوم المهاجمون بخرق تطبيق أنظمة سيارات BMW الحديثة!


أصبح الهاتف الذكي مركز القيادة الرئيسي لكثير من الناس في عصر التكنولوجيا الذي نعيش فيه، مما قد يعرض أمنهم السيبراني إلى الخطر. وبالتالي، يجب أن يتحمل مطورو أي تطبيق هاتفي مسؤولية الحفاظ على الأمان الرقمي للمستخدمين وسلامة بياناتهم.

وجدت دراسة أجريت عام 2020 أن لدى كل مستخدم عادي نحو 67 تطبيقا على هاتفه، فيما لا يتوقف معظم الناس عن التفكير في البيانات التي يمكن أن تصل إليها هذه التطبيقات أو مدى الحماية التي تؤمنها. وما قد لا يعرفه الكثيرون أن الهجمات الالكترونية قادرة على الوصول إلى كل شيء، حتى التطبيقات الخاصة بالسيارات.

تحتوي العديد من التطبيقات على معلومات حساسة أو شخصية عليها حمايتها من الوصول غير المصرح به. بعضها أكثر وضوحاً وقوة مثل التطبيقات المصرفية والمالية أو بيانات تخزين التطبيقات الصحية أو الطبية التي تتخذ كل الخطوات المناسبة لتشفير البيانات وحمايتها من الاختراق. لكن المشكلة تقع عند البعض الآخر من التطبيقات التي تخزن معلومات قد تبدو غير ضارة للمستخدم، ولكنها لا تزال تقدم أدلة يمكن للمهاجم استخدامها. الشيء المهم هو أن التطبيقات التي تثق بها بهذه المعلومات.

 

السيارات الحديثة قد تكشف بياناتكم!

لنأخذ على سبيل المثال تطبيق الهاتف المحمول الخاص بسيارات “بي ام دبليو” والمعروف بنظام BMW ConnectedDrive، ولنرى إذا كان التطبيق يشفر بيانات السائق أم لا. تجدر الإشارة إلى أن آخر إصدار محدّث من التطبيق في Apple Store توفر في مايو 2020.

يتضمن التطبيق مجموعة متنوعة من الميزات التي يمكن تنفيذها عن بُعد. يمكنه قفل أو إلغاء قفل السيارة عن بُعد، وتمكين إضاءة المصابيح الأمامية أو إطفائها، واستخدام البوق، وضبط أو تنشيط ميزات التحكم في المناخ، وتتبع الوجهات وموقع السيارة الفعلي من خلال نظام الملاحة، وتوفير حالة الأبواب والنوافذ ما إذا كانت مفتوحة أو مغلقة، والإبلاغ عن مستوى الوقود الحالي.

هذه الميزات قد لا تشكل خطراً أمنياً بالنسبة للسائق، لكن هل تريدون فعلاً أن يعلم مستخدم غير مصرح له بالأماكن التي تزورونها أو مكان السكن والعمل أو أن يكون قادراً على استخدام تتبع الموقع لمعرفة مكان وجود السيارة في أي مكان في لحظة معينة؟ لا أعتقد ذلك.

 

كيفية كشف البيانات من تطبيق سيارة BMW؟

يفيد خبراء الأمن السيبراني أنه عبر استخدام بعض الأدوات الأساسية، يمكن للمهاجمين الكشف عن البيانات غير المشفرة على تطبيق BMW بسهولة نسبياً. فعندما يتم إضافة المركبات والمصادقة عليها باستخدام التطبيق، يقوم هذا الأخير بتخزين البيانات برمز  base-64 –  ولكن بشكل غير مشفر في ملفات plist.

ثم عبر استخدام برنامج plistutil على جهاز  Ubuntu Linux 19.10، يمكن فك تشفير المعلومات والوصول إلى البيانات الخاصة بالسائق. حيث يمكن تحديد عناوين المواقع المفضلة، بالإضافة إلى اتجاهات الملاحة الأخيرة المرسلة إلى السيارة. كما يمكن أيضاً رؤية المسافة المقطوعة بالسيارة ونسبة الوقود المتبقي ورقم VIN وطراز السيارة، وحتى صورة واضحة لطراز السيارة ولونها.

قد لا تبدو هذه الأشياء حاسمة. فليس الأمر كما لو أن المهاجم يمكنه استخدام البيانات الموجودة في هذا التطبيق لتشغيل السيارة على الطريق أو القيام بأي شيء شائن بشكل مباشر. ومع ذلك، يمكن استخدام المعلومات التي كشفت عنها البيانات غير المشفرة في تطبيق BMW ConnectedDrive  لملاحقة أو تعقب شخص ما ورصد تحركاته وتوقع الأماكن التي من المرجح أن يكون فيها وتحديد السيارة بالضبط عند العثور عليها. كل ما يحدث لاحقاً يعود إلى مخيلتكم، فلا أحد يمكنه معرفة الخطط الخبيثة التي يحيكها المهاجمون لضحاياهم.

 

ضرورة حماية البيانات

تجدر الإشارة إلى أن المهاجم سيحتاج إلى وصول مادي إلى هاتف السائق أو إلى جهاز كمبيوتر تمت المصادقة عليه وموثوق به، لكي يستطيع تنفيذ الاختراق. فعندما يكون الهاتف متصلاً ومصادقاً عليه، يمكن للمهاجم استخراج البيانات من تطبيقاته.

وبالتالي، يجب أن يتحمل مطورو التطبيقات مسؤولية البيانات التي يطلبون من المستخدمين الوثوق بها في تطبيقاتهم. يبدأ ذلك بعدم الاعتماد على ضوابط الأمان لنظام التشغيل نفسه، واتخاذ خطوات لتشفير البيانات المخزنة بواسطة التطبيق محلياً أو بشكل منفصل عن أي حماية قد يوفرها نظام التشغيل.

أما بالنسبة لكم كمستخدمين نهائيين، يمكنكم المشاركة في حماية بياناتكم من السرقة. يمكنكم القيام ببعض الواجبات المنزلية ومحاولة تحديد التطبيقات التي لا تحتفظ بالبيانات بشكل غير مشفرة، ومع أنه لا يمكنكم دائماً الاختيار ولكن على الأقل ستعلمون ماذا يجري في الخفاء.

لمزيد من الحماية، من الأفضل عدم توصيل الهاتف الذكي بمحطة عمل مشتركة قد يتمكن الآخرون من الوصول إليها، بالإضافة إلى مصادقة الجهاز المحمول بأجهزة الكمبيوتر الموثوق بها فقط. كما أنه من المفيد جداً اختيار كلمات مرور وأرقام PIN معقدة لجعل الوصول غير المصرح به صعباً قدر الإمكان.

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: