شناسایی آسیب‌پذیری‌های جدی در دزدگیرهای کنترل از راه دور خودرو

در کنفرانس Kiwicon ،‌ پژوهش‌گری به نام Lachlan Temple نشان داد که رخنه‌هایی را در قطعات تراشه‌های ارزان قیمت ردیاب‌ها و متوقف‌کننده‌های خودروها یافته است که به یک مهاجم از راه دور اجازه می‌دهد تا خودرو را ردیابی، استراق سمع و در برخی مواقع سوخت آن را قطع کند . این رخنه‌ها شامل صدها هزار خودرو می‌شود که برخی از آن‌ها در حال حرکت هستند.
این دستگاه‌ها توسط گروه چینی ThinkRace در جعبه‌های سفید، تولید شده‌اند تا کاربران آن‌ها را به خودروهای خود متصل کرده و از راه دور و به وسیله یک رابط مرورگر اینترنتی آن‌ها را ردیابی کنند، متوقف کنند، به ضبط صدا از طریق میکروفن آن‌ها بپردازند و اجازه حرکت آن‌ها را در محدوده خاص بدهند.
در استرالیا این دستگاه‌ها به قیمت حدودا ۱۵۰ دلار در فروشگاه‌های زنجیره‌ای الکترونیک JayCar عرضه شده و یا توسط برخی از تعمیرکاران برای نصب شدن در خودرو توصیه می‌شوند.
یکی از دستگاه‌ها به پمپ‌های سوخت متصل می‌شود تا به ابزاری تبدیل گردد که به وسیله آن خودروهای مسروقه را از راه دور متوقف کنند.
اما آسیب‌پذیری‌هایی که این دستگاه‌ها دارند عملکرد آن‌ها را تغییر می‌دهد؛ در بدترین حالت ممکن است که موجب گردد که سوخت خودرو در حال حرکت از راه دور و توسط اینترنت به وسیله نفوذگران قطع شود.
این پژوهش‌گر در کنفرانس امنیتی کیوی کن در ولینگتون برگزار شد، نشان داد که این مشکلات امنیتی به مهاجمان اجازه می‌دهند تا وارد حساب‌های کاربری شوند – که شامل یک حساب کاربری کلی است- و از طریق آن می‌توانند به هر کدام از ۳۶۰ هزار دستگاه ThinkRace بدون نیاز به رمز عبور نفوذ کنند!
این پژوهش‌گر می‌گوید: «شما بی‌رحمانه وارد هر کدام از حساب‌ها می‌شوید، و می‌توانید هر کدام را که بخواهید ارتقاء دهید. شما می‌توانید ماشین هر کسی را که این دستگاه به آن متصل است متوقف کنید و اگر این خودرو در حال حرکت در آزاد راه باشد این‌کار بسیار خطرناک خواهد بود. اکثر مردم این دستگاه را به همین شکل نصب می‌کنند و نکته اساسی هم در همین است و به همین دلیل است که مکانیک‌ها آن‌ها را توصیه می‌کنند.»
وی اضافه می‌کند: «مصرف‌کنندگان باید این دستگاه را به موتور استارت ماشین متصل کنند که موجب می‌شود هنگامی که خودرو در حال حرکت است نتوان آن را متوقف نمود و به جای آن از دوباره روشن شدن خودرو بعد از خاموشی آن جلوگیری خواهد کرد.»
البته این پژوهش‌گر تاکید می‌کند بهتر است که مصرف‌کنندگان استفاده از این دستگاه را کنار بگذارند.
مهاجمان می‌توانند جزئیات مربوط به اطلاعات شخصی کاربران را نیز پیدا کنند؛ نظیر شماره ‌تلفن‌هایی که از طریق نصب یک سیم‌کارت در دستگاه ثبت کرده‌اند تا در موقع لزوم به آن‌ها هشدار داده شود. هم‌چنین میکروفونی که در دستگاه نصب است به مهاجمان اجازه شنود خودروها را می‌دهد. دستگاه‌هایی شبیه این نیز در ساعت کودکان نصب شده‌اند که به وسیله شرکت ThinkRace به فروش می‌رسند و احتمالاً دارای همان نقص‌های هستند که موجب شنود و ردیابی کودکان می‌شود.
این دستگاه‌های ارزان‌قیمت به شدت مورد توجه کاربران قرار گرفته۷ و همین مسئله موجب می‌شود نفوذگران علاقه‌ی بیش‌تری به سوء‌استفاده از آسیب‌پذیری‌های آن‌ها داشته باشند.

منبع: asis

درباره نماد امنیت وب

 “نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.