هک شدن اتومبیل های BMW

هک شدن اتومبیل های BMWReviewed by مدیر سایت on Jul 13Rating: 5.0

2013-bmw-connecteddrive-updates_100429516_l

اینترنت اشیا یا دستگاه های متصل، از نگرانی بزرگ پیش رو به حساب می آیند؛ به عبارتی هر چه تعداد اتصال به اینترنت بیشتر باشد، به معنی این است که نقاط دسترسی بیشتر بوده و این نیز به معنی وجود فرصت های خیلی بیشتر برای هکرهاست.

زمانی که تهدید اینترنت اشیا روی کار آمد، Car Hacking یا هک شدن خودروها نیز به یک موضوع داغ تبدیل شد.
خیلی از شرکت های خودروسازی، ماشین هایی ارائه می دهند که بیشتر با سیستم drive-by-wire یا رانندگی با سیم، حرکت می کند، و اکثر توابع و عملکردهای آنها به صورت الکترونیکی کنترل می شود، مانند فرمان، ترمزها، قسمت شتاب دهنده، و ابزار cluster.

هیچ شکی نیست که این سیستم های کنترل خودکار خودروها، تجربه رانندگی شما را بهبود می دهند، اما با این حال خطر هک شدن نیز با وجود آنها افزایش یافته است.

به تازگی، Benjamin Kunz Mejri ، محقق امنیتی، توانسته وجود آسیب پذیری های zero-day را کشف کند، آسیب پذیری هایی که مقیم دامنه وب رسمی BMW  و پورتال Connecteddrive می باشند،  بدتر از همه این است که این آسیب پذیری ها اصلاح نشده و برای هکرها باز است.

اولین مورد، آسیب پذیری Session  VIN (شماره شناسایی خودرو) است که در برنامه کاربردی سرویس آنلاین ConnectedDrive رسمی BMW ساکن است.

ConnectedDrive خودروی BMW، یک سیستم سرگرمی داخل خودرو است که دامنه وسیعی از سرویس های هوشمند و برنامه های کاربردی را ارائه می دهد، برنامه هایی که در طول سفر اطلاعات و سرگرمی های مختلفی را برای شما فراهم می کند، به علاوه این سرویس ها به شما اجازه می دهد تا بتوانید پروفایل راننده را ایجاد کنید، ایمیل دریافت کرده و پاسخ دهید، دستگاه های خانگی خود را که به صورت هوشمند به خودرو متصلند، مدیریت کنید، می توانید با کمک آنها سیستم های هشدار/نور/ و گرمایش را تنظیم کنید و اطلاعات زنده و به روز ترافیکی را دریافت کنید.

شماره VIN خودروی BMW، یک کد منحصر به فرد است که برای شناسایی مدل های منفرد خودروهای متصل به سرویس استفاده می شود.

اگرچه وجود نقص و مشکلی که در مدیریت Session  استفاده از VIN وجود دارد، به مهاجمان اجازه می دهد تا بتوانند از راه دور و با استفاده از یک Session  زنده، از رویه اعتبارسنجی مطمئن گذر کنند.

این آسیب پذیری Session  اعتبارسنجی به مهاجمان و هکرها این امکان را می‌دهد که، با استفاده از یک حساب کاربری یا user account  یک برنامه کاربردی تحت وب و low-privilege (ایمنی کم) و بدون تعامل با کاربر، بتوانند سوء استفاده کنند.

این امکان به مهاجمان و هکرها اجازه می دهد تا شماره های VIN را دستکاری کرده و تنظیمات را پیکربندی کنند، مانند به خطر انداختن شماره های VIN یا ثبت شده از طریق  ConnectedDrive.

نقص دوم سمت client یا مشتری است، و آسیب پذیری اسکریپت نویسی Cross-Site (بین سایتی) می باشد، آسیب پذیری که در سیستم تنظیم مجدد رمزعبور سرویس برنامه وب آنلاین BMW مقیم می باشد.

آسیب پذیری های امنیتی نیازی به کاربران ممتاز برنامه های وب ندارند؛ اما در مقابل برای تزریق Payload مخرب به ماژول آسیب پذیر، به تعامل یک کاربر ضعیف نیازمندند.

سوء استفاده های موفق از نواقص امنیتی، به مهاجمان و هکرها اجازه می دهد تا از راه دور، کدهای مخرب برنامه نویسی شده را به ماژول متاثر تزریق کنند، نتیجه این است که، Session  به طور بالقوه ربوده می شود، حملات Phishing رخ می دهد، کاربران به منابع و Source های مخرب هدایت می شوند، و ماژول ها و برنامه های کاربردی متصل، دستکاری شده یا تحت تاثیر قرار می گیرند.

آزمایشگاه های تشخیص آسیب پذیری ها، وجود این مسائل و مشکلات امنیتی را فوریه سال جاری به خودروسازان گزارش کردند، دو ماه بعد شرکت BMW پاسخ داد. از آنجایی که هیچ گونه اعلان و بیانیه ای از جانب این شرکت مبنی بر تعمیر و اصلاح این مشکلات صادر نشد، لذا محققان در هفتم جولای سال جاری، وجود این نواقص را برای عموم علنی کردند.

این اولین بار نیست که محققان وجود تهدیدها و مشکلاتی از این قبیل را برای خودروهای متصل شده (connected cars)، گزارش کرده اند. تحقیقات پیشین نشان می دهد که هکرها می توانند یک خودرو را از راه دور هک کرده و کنترل ترمزها و فرمان آن را بدست بگیرند، و نیز می توانند با سوء استفاده از باگ های امنیتی که به طور قابل توجهی خودروها را تحت تاثیر قرار می دهد، عملکردهای حیاتی و ضروری خودرو، مانند کیسه های هوا را از کار بیاندازند.

با توجه به وجود این خطرات، آوریل سال جاری، مجلس سنای ایالت میشیگان دو لایحه مطرح کرد، مبنی بر اینکه، کسانی که سیستم های الکترونیکی خودروها را هک کنند، به زندان می افتند. FBI نیز با صدور اطلاعیه های عمومی، راجع به خطرات هک خودرو به مردم هشدار می دهد.

 

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه: (۰) ←

ارسال دیدگاه