מיליוני כלי רכב מתוצרת קיה – בהם כמעט כל רכב שעלה על כבישי ארה"ב מאז שנת 2013 – היו חשופים עד לחודש שעבר לפרצת אבטחה שאפשרה להאקרים להשתלט תוך 30 שניות על אינספור פונקציות, בהן פתיחת דלתות והתנעת המנוע.
קבוצת "האקרים טובים" – מומחי אבטחה – חשפה את פרצת האבטחה הזאת ודיווחה עליה לקיה עוד במהלך חודש יוני השנה, ואנשי קיה הצליחו לבצע את התיקון הנדרש באמצע אוגוסט. לדברי המומחים, זה לא היה מחדל האבטחה הראשון שעליו הם דיווחו לקיה, ובכל מקרה הפרשה הזאת מזכירה לנו (שוב) את הסכנות שטמונות בעידן "הרכב המקושר".
חבורת מומחי האבטחה איתרה את פרצת האבטחה באתר אינטרנט אמריקני של קיה אשר מיועד לסוכנים שלה ברחבי ארה"ב, ודרכה הצליחו להשיג גישה אל סוכנויות (דילרים) שמוכרים דגמי קיה, ולהגיע למצב שמאפשר להם לגנוב נתונים ולהשתלט מרחוק על כלי הרכב.
בדוח שחיברו מומחי האבטחה נכתב שאם המערכת הייתה נפרצת זה היה מסכן מיליוני כלי רכב שמתגלגלים על הכבישים ("פחות או יותר כל רכב של קיה שיוצר אחרי 2013"), ושבנוסף לשליטה ברכב זה אפשר להשיג מידע אישי על הבעלים – למשל כתובות דוא"ל וכתובות פיזיות, וגם לעקוף את הגישה של הבעלים ולהשתלט על כלי הרכב בתוך כדי כך שהם הופכים את עצמם למורשי הגישה היחידים. אגב, פרצת האבטחה של קיה לא סיכנה רק את כלי הרכב ואת המשתמשים בהם אלא גם את המערכת הלוגיסטית של סוכני קיה בצפון אמריקה. האקרים יכלו לבצע מניפולציות במערכות שקשורות לחיפוש כלי רכב ולרישום שלהם.
מומחי אבטחה טוענים שיצרניות הרכב נכנסו לתחום האפליקציות זמן רב אחרי שתעשיות האלקטרוניקה, המשחקים והבידור כבר צברו בו ניסיון רב, וכן שבגלל מנטליות שונה יצרניות הרכב כמעט שלא מאפשרות לצדדים שלישיים להיות מעורבים במהלכי הפיתוח, מה שמחליש את יכולת ההתגוננות שלהן.
פרצת האבטחה של קיה נחשפה זמן קצר לאחר שנחשפו שתי מתקפות סייבר על חברת התוכנה CDK Global אשר בנתה ומנהלת מערכות לניהול סוכנויות רכב שמשמשות כיום כ-15,000 סוכנויות רכב בצפון אמריקה. שתי המתקפות היו "מתקפות כופר" אשר השביתו את כל המערכות של החברה בשתי הזדמנויות, ולא מיותר להזכיר גם את הפריצה למאגר הנתונים של חברת השכרת הרכב אוויס מן השבוע שעבר.
לא מיותר להזכיר גם שבשנה שעברה נחשפה תקלת אבטחה פיזית חמורה בכלי רכב מתוצרת יונדאי וקיה, שאפשרה לגנוב מכוניות כאלה באמצעות התחברות לרכב דרך שקע USB והתנעה שלו. ההבדל הוא שפרצת USB דורשת גישה פיזית לרכב בעוד שפרצת האבטחה החדשה אפשרה להאקרים לשלוט מרחוק בפונקציות עיקריות של המכוניות מכל מקום בעולם.
הברכה והקללה
כמעט כל כלי הרכב החדשים שמיוצרים בימינו מחוברים באופן מלא לאינטרנט וזה מאפשר עדכונים מרחוק, דיאגנוסטיקה, ואפילו תיקון יזום של תקלות תוכנה שונות. הברכה ביכולות הקישוריות נובעת מכך שזה חוסך נסיעות מיותרות ומעצבנות למוסכים ומאפשר לשדרג חלק מן היכולות של רכב במהלך חייו. מצד שני – זה גם פותח דלת לסיכוני אבטחה משמעותיים, כפי שמוכיחה פרצת האבטחה של קיה.
כפי שפרסמנו כאן, הסיכונים של שליטה מרחוק בכלי רכב מקושרים (וגם אינטרסים כלכליים) הובילו את המימשל האמריקני לחוקק לאחרונה חוקים שימנעו מכירה בארה"ב של כלי רכב מתוצרת סין, ואפילו של כלי רכב לא סינים שבהם מותקנות מערכות מתוצרת סין.
אבל מה לגבי כל שאר כלי הרכב? מה לגבי השתלטות מרחוק וחדירה למצלמות ולמיקרופונים שמותקנים במכוניות שבהן נוסעים קציני צה"ל או כאלה שחונות בתוך בסיסי צה"ל?
לקריאה נוספת
הצעיר שפרץ לטסלה מאתגר את יצרניות הרכב: תלמדו לעבוד עם קהילת ההאקרים
אילון מאסק יכול לחפור את כל עזה תוך 6 שבועות
היורש של קרייזלר רוצה לקנות את קרייזלר ודודג' מסטלנטיס