• Ad
  • כך פרצנו אל מערכות הניהול של קיה, הונדה, אינפיניטי, ניסאן, ב.מ.וו, פורד ומרצדס
    חבורת האקרים "טובים" חשפה מחדלי אבטחה חמורים שמאפשרים לפגוע מרחוק במיליוני נהגים ומכוניות, לגנוב נתונים אישיים במקרה הטוב ולגרום לתאונות קטלניות במקרה הרע
    אוהבים את הכתבה? שתפו אותה עם חברים, בעמוד שלכם ובקהילות שבהן אתם פעילים

    בעשור האחרון הפכו כל המכוניות החדשות ל"טלפונים ניידים על גלגלים" ומספר האפליקציות והשירותים שמוצעים ברכב גדל במהירות מיום ליום. למעשה, לקוחות רבים מתלהבים כיום מגודל מסך המולטימדיה ומאפשרויות שיקוף למכשיר הטלפון האישי שלהם יותר מאשר מביצועי הרכב, שלא לדבר על היכולות הדינמיות שלו. אבל ככל שהמכונית שלנו מחוברת ומקושרת יותר כך גדלים איומי הסייבר ופוטנציאל הנזק שלהם, ומסתבר שתעשיית הרכב ותעשיית השירותים סביב הרכב לא ערוכות להתמודד עם המציאות הזאת.

     

    כך פרצנו אל מערכות הניהול של קיה, הונדה, אינפיניטי, ניסאן, ב.מ.וו, פורד ומרצדס

     

    כאשר אנחנו מדמיינים "פריצת סייבר" לרכב אנחנו חושבים על האקר שמתביית על מכונית ספציפית כדי לגנוב אותה או לגרום נזק למכונית עצמה או לנוסעים בתוכה. בשנים האחרונות פורסמו לא מעט סיפורים אודות חדירה למערכות של טסלה, ג'יפ ויצרניות אחרות והשתלטות על מערכות שונות ברכב. מה שפחות נחשף זה הצד השני של אותה תקשורת – הצד של יצרניות הרכב, משווקות רכב וחברות לניהול ציי רכב. בשונה מפריצה אל רכב בודד – מי שחודר למערכות של החברות האלה משיג גישה אל אלפי, ולפעמים גם אל עשרות מיליוני כלי רכב.

    קבוצה קטנה של מומחי אבטחה אמריקנים פרסמה בשבוע שעבר מאמר מטריד מאד אודות חולשות אבטחה אצל כמה ממותגי הרכב הידועים והמבוססים ביותר בעולם, והדבר המבהיל ביותר שנחשף הוא מה שנראה כמו רשלנות ברמה הגבוהה ביותר של מנהלי חברות ומנהלי האבטחה והדיגיטל שלהם. המיוחד במבצע הקטן של הקבוצה הזאת – למרבה המזל זאת קבוצת "האקרים טובים" – הוא התמקדות בצד של החברות אשר אמור להיות הרבה יותר קל לאבטחה ברמה גבוהה מאשר צד הרכב.

    קבוצת מומחי האבטחה הקפידה לדווח לחברות השונות על החולשות שמצאה אצלן וחלקן כבר חסמו את הפרצות אבל במאמר שפורסם מתוארות דרכי פריצה שנשמעות פשוטות ברמה מביכה, וזה מעיד על חוסר מודעות ואף על רשלנות חמורה. בגדול – מומחי האבטחה פרצו בקלות למערכות ומסדי נתונים שמשמשים את יצרניות הרכב, סוכנויות הרכב, ואת מערכי השירות והתחזוקה, וחברות לניהול ציים כדי להימצא בקשר קבוע עם הרכב עצמו ועם בעלי הרכב.

    מערכות כאלה מוצגות בדרך כלל ללקוחות כאילו שהן מעניקות להם ערך מוסף כמו אפליקציות שונות, שירותי מיקום או תזכורות לביצוע תחזוקה – אבל המוטיבציה הבסיסית של מי שמנהל אותן היא להימצא בקשר קבוע עם הלקוחות שלהם כדי לשמור עליהם קרוב ולצמצם מגע שלהם עם שירותים מתחרים.

     

    כך פרצנו אל מערכות הניהול של קיה, הונדה, אינפיניטי, ניסאן, ב.מ.וו, פורד ומרצדס

     

    הרמה הבסיסית ביותר בקשר הזה היא באמצעות מסדי נתונים שכוללים פרטים אישיים של הלקוחות ובכלל זה כתובות, טלפונים, כתובות דואר אלקטרוני ומסמכים שקשורים לעסקת הרכישה של הרכב ולתחזוקה הקבועה שלו. ברמה הבאה מתקיים קשר קבוע, מבוסס מיקום, שכולל העברת נתונים אודות המצב המכאני של הרכב ועל אירועים חריגים שעוברים עליו, וברמה הגבוהה ביותר מתקיים קשר מסחרי אל לקוח הקצה שכולל אפליקציות ושירותים בתשלום ובכלל זה גם פרטי אשראי ואפשרויות גביה.

    התחברות למעגלים אלה מאפשרת לפורצים להשיג נתונים אישיים של רבבות לקוחות ובכלל זה מידע פיננסי של מי שרכש רכב באמצעות מימון, להשתלט מרחוק על מערכות שונות ברכב, ואף להביא לכיבוי מנוע ועצירת הרכב באמצע נסיעה.

     

    פריצה נעימה

    בסיכום הממצאים שלהם מפרטים מומחי האבטחה את הפריצות שביצעו למערכות הניהול של קיה, הונדה, אינפיניטי, ניסאן, אקורה, פורד, יונדאי, ג'נסיס, ב.מ.וו, מרצדס, פורשה, יגואר, לנד רובר ופרארי.

    לאחר שנכנסו למערכות של חלק מן המותגים הם השיגו שליטה מלאה מרחוק בנעילת הדלתות ופתיחה שלהן, התנעת מנוע, כיבוי מנוע, איתור המיקום המדויק והפעלת מאותתי האזהרה והצופר של הרכב. בנוסף, הגישה כללה את חשיפת כל הפרטים האישיים של הלקוחות והשתלטות על חשבון המשתמש שלהם. בקיה באופן ספציפי הושגה גישה מרחוק למצלמות ה-360 מעלות של הרכב שבאמצעותן אפשר לעקוב אחר כל הפעילויות של המשתמשים ברכב ובסביבת הרכב.

    במרצדס השיגו מומחי האבטחה גישה אל כלי רכב וגם אל החשבונות הפרטיים של עובדי החברה בארה"ב, ובב.מ.וו הם השיגו גישה לפורטלים פנימיים של משווקים שבאמצעותם הם יכולים לאחזר את מסמכי עסקאות המכירה. אצל פורד הצליחו ההאקרים לחשוף מידע אישי של לקוחות ולהשתלט על החשבונות שלהם.

    אחד היעדים המעניינים של מומחי האבטחה הוא חברת ניהול ציי הרכב 'ספירון', שהיא סוג של "איתוראן" אמריקנית. ספירון הפכה לאחד הגופים הגדולים בארה"ב ובעולם לאחר שרכשה והשתלטה על מספר חברות קטנות יותר והכפיפה את כולן תחת גג אחד, ויש לה כיום יותר מ-15 מיליון מתקני איתור שצמודים למכוניות, כלי רכב מסחריים, ציוד חקלאי ועוד.

    הפורצים השיגו גישה מלאה למערכת הניהול ובאמצעותה יכלו לאתר כל מכונית באופן מדויק ולשלוח אליה פקודות פתיחת דלתות, הפעלת וכיבוי מנוע והתקנת עדכוני תוכנה שבאמצעותם אפשר לחולל ניסים נוספים. בין השאר יכלו ההאקרים לאתר באופן נקודתי את כל ניידות המשטרה במספר ערים גדולות בארה"ב ולהשבית אותן, וגם לטרלל את הצוותים שלהן באמצעות משלוח הוראות ניווט ליעדים שונים. המומחים השיגו גישה לכל השירותים (הרבים) של החברה ובכלל זה אל 1.2 מיליון חשבונות משתמשים – החל מלקוחות פרטיים וכלה במנהלי ציי רכב.

     

    כך פרצנו אל מערכות הניהול של קיה, הונדה, אינפיניטי, ניסאן, ב.מ.וו, פורד ומרצדס

     

    סוג אחר של ניהול צי מבוצע במדינת קליפורניה באמצעות "לוחיות רישוי דיגיטליות" שמאפשרות, בין השאר, את אחד היישומים שצפויים בישראל כאשר תופעל מערכת אגרת הגודש. הלוחיות הדיגיטליות מאפשרות לגבות אגרות וגם לסייע במניעת גניבות רכב (על-ידי דיווח שהרכב נגנב), אבל מי שמתפעל את המערכות האלה הן חברות פרטיות, בעיקר חברת Reviver, והפורצים התבייתו על מערכת הניהול שלה.
    בין השאר הם השיגו אפשרות לעקוב אחר המיקום המדויק של כל המנויים, לנהל את מאגר המידע ואת החשבונות האישיים של הלקוחות וכמובן גם להשיג את כל המידע האישי שלהם.

     

    אז מה עושים?

    רבים מאיתנו "הרימו ידיים" בטענה שמרגע שהתמכרנו לטלפונים הניידים שלנו ממילא אין יותר פרטיות והמידע האישי שלנו חשוף לעשרות גופים, שלא לדבר על מעצמות הדיגיטל שיודעות עלינו דברים שלא תמיד אנחנו יודעים על עצמנו. יש גם מי שסבורים שמכיוון שאין להם מה להסתיר לא אכפת להם מי יעשה משהו עם המידע האישי שלהם, או שממילא אין דרך למנוע את זה.

    ובכל זאת יש הבדל בין טלפון נייד לבין מכונית, מפני שפוטנציאל הנזק של מכונית הרבה יותר גדול. אך לפני שבועות אחדים פורסם בארץ שקבוצת פצחנים איראניים חדרה למצלמות אבטחה שמותקנות בארץ בשטחים ציבוריים, חלקן אף בשימוש מערכות ביטחוניות. לא קשה לדמיין מה יכולים פצחנים כאלה לעשות אם הם משתלטים על מצלמות רכב שנכנס וחונה במתחם מסווג, או אם הם מחליטים להשבית מנועים של כלי רכב במהלך נסיעה. מי שאחראי שמקרים כאלה לא יקרו הוא מי שמקים ומתפעל את מערכות הקישוריות לרכב ואל הלקוחות, אבל גם לנו – כמשתמשי קצה – יש השפעה. השאלה הפשוטה ביותר היא שאלת העלות מול תועלת: האם התועלות שאנחנו מקבלים מן החיבור אל מסדי הנתונים של יצרניות הרכב, או יבואניות רכב במקרה הישראלי, מצדיקות את הסיכונים שנחשפים חדשות לבקרים.

  • Ad
  • Ad
  • Ad
  • Ad
  • Ad
  • כך פרצנו אל מערכות הניהול של קיה, הונדה, אינפיניטי, ניסאן, ב.מ.וו, פורד ומרצדס

    רשמנו לפנינו את ההתעניינות בדגם זה, ובקרוב נפיק מבחן. השאירו לנו את פרטיכם ונשלח אליכם את המבחן כאשר נפרסם אותו. 

    אם תרצו בינתיים לבחון דגם זה בעצמכם – נא מלאו את הטופס הבא:

    הזמנת נסיעת מבחן ברכב חשמלי

     

    אני, בעל/ת רישיון נהיגה מתאים, מבקש/ת בזאת מצוות TheCar לתאם עבורי נסיעת מבחן ברכב חשמלי.