سرقات السيارات تدفع الخبراء لتحري ثغرات في أنظمتها

يعكف بضعة باحثين يعملون بغرفة صغيرة جداً في باريس على نبش نظام المعلومات والترفيه لسيارة "تسلا" بحثاً عن مكامن ضعفه. ابتاعوا لوحة الدارات التي تتحكم بذلك النظام من موقع "إي باي" مقابل 400 دولار، ثم وصّلوها بمرسمة ذبذبات بحجم جهاز مراقبة وظائف القلب لتحديد الوظيفة التي يتحكم بها كل مكون إلكتروني، كما استخدموا أجهزة أخرى لتساعدهم على استخراج البيانات وتحليلها.

حصاد عملهم كان أنهم تمكنوا من إرسال أوامر لاسلكية لسيارة "تسلا" بحيث تفتح أبوابها وصندوقها الأمامي عن بعد، فضلاً عن إيقاف عمل مصابيحها وربما توقيف السيارة عن العمل، حتى أثناء سيرها، دون حاجة إلى مفتاح تشغيل.

هؤلاء الباحثون هم ممن يُسمون بالقراصنة ذوي القبعات البيضاء ويعملون لدى شركة "سايناكتيف" (Synacktiv) الفرنسية للأمن السيبراني التي تختص بفحص أنظمة التحكم الإلكترونية في سيارات عملائها من صنّاع المركبات. إلا أن "تسلا" ليست من عملاء الشركة، التي فازت بمسابقة القرصنة الشهيرة (Pwn2Own) هذا العام.

كانت المسابقة السنوية قد أقيمت تحت رعاية مبادرة "زيرو داي" (Zero Day) التي أطلقتها شركة "تريند ميكرو" (Trend Micro) في فانكوفر، حيث تمكنت "سايناكتيف" من عرض قدرتها على اختراق نظم التحكم الإلكترونية في سيارات "تسلا" الكهربائية.

مساعي الردع

سيارات "تسلا" لها سمعة بأن لها أهدافاً صعبة لمن يتطلع لاستغلال مكامن الضعف في الأمن السيبراني للسيارات، كما أنها أقل عرضة للسرقة مقارنةً بسيارات أخرى، وفقاً لمعهد بيانات خسائر الطرق السريعة، وهي منظمة تحلل إحصائيات بيانات خسائر التأمين على معظم السيارات. مع ذلك، نجاح "سيناكتيف" الأخير تذكرهُ بالتقدم المستمر في قدرات من يحاولون سرقة السيارات، وكذلك من يحاولون منعهم.

لقد نشطت سرقات السيارات بعد سنوات من التراجع، حيث بلغت أدنى مستوياتها في الولايات المتحدة في 2014، وارتفعت منذئذ بأكثر من 45%، وتجاوز إجمالي السرقات مليوناً في 2022 للمرة الأولى منذ 2007.

أما في المملكة المتحدة، فارتفعت سرقات السيارات 19% في 2022 فقط. وقالت الوكالة الوطنية لمكافحة الجريمة هناك في يوليو إن أحد العوامل كان ارتفاع السرقات عبر الاختراق الإلكتروني، وهي فئة تشمل أفعالاً مثل أن يزيل اللص المصباح الأمامي ليوصل جهازاً يرسل أوامر بفتح أبواب السيارة وبتشغيلها.

كما يستخدم المجرمون مجموعة أجهزة لاعتراض الإشارات الصادرة عن أنظمة التشغيل عن بعد لاقتحام السيارات، ثمّ يعطلون أجهزة التعقب وتحديد الموقع، التي من شأنها تيسير استعادة المركبات المسروقة. قال خبراء الأمن السيبراني إنه غالباً ما يصعب على الضحايا تحديد ما إذا كانت هذه الأجهزة استُخدمت في جرائم سرقة سياراتهم أم لا، وهذا يصعب تحديد حجم المشكلة.

حذرت رابطة "مكتب التأمين الوطني ضد الجرائم" غير الربحية في الولايات المتحدة، على مدى العقد الماضي، من استخدام الأجهزة التي تحاكي مفاتيح التشغيل اللاسلكية لأغراض إجرامية. بينما أعلنت وكالة إنفاذ القانون التابعة للاتحاد الأوروبي "يوروبول"، في أكتوبر 2022، أنها قبضت على 31 شخصاً في أرجاء فرنسا ولاتفيا وإسبانيا تورطوا في سرقة السيارات باستخدام أجهزة تحاكي أنظمة فتح السيارات عن بعد.

حماية البيانات من الاختراق تصل بصناعة تأمينها إلى 334 مليار دولار بحلول 2026

ذكرت تقارير إخبارية في بريطانيا أن المسؤولين يدرسون حظر بيع أو شراء أو حيازة الأجهزة التي يمكن استخدامها لاختراق أنظمة تشغيل السيارات. كما يحاول بعض المشرعين إلزام مصنعي السيارات بتعزيز أنظمة الحماية السيبرانية لمنتجاتها. وقد فعّل الاتحاد الأوروبي في العام الماضي قانوناً يقضي بخضوع جميع المركبات الجديدة لتقييم متطلبات الأمن السيبراني وبأن تضع شركات صناعة السيارات خططاً لتحري مكامن الضعف في أنظمتها وإصلاحها قبل أن تبيع المركبات.

حال متغير

يبشر التدقيق المتزايد بطفرة محتملة في أعمال شركات الأمن السيبراني مثل "سايناكتيف". قالت تيفاني راد، وهي مستشارة مستقلة في مجال الأمن السيبراني منذ 2006، إنها تعمل مع مسؤولين أميركيين على تطوير معايير للأمن السيبراني والخصوصية في قطاع النقل تُركز على المتطلبات المحتملة في مراحل تصميم السيارات.

تابعت راد: "حين باشرت اختراق أنظمة تشغيل السيارات الإلكترونية، لم يكن لدى شركات صناعة السيارات كثيراً من المخاوف المتعلقة بالأمن السيبراني. لكن الأمور مختلفة جداً الآن".

استرعى باحثان الانتباه للمخاطر بقوة في 2015، حين جعلا مراسلاً من مجلة "وايرد" يقود سيارة "جيب" على طريق سريع في سانت لويس، ثم اختطفاها عن بعد فيما كان يقودها. شارك الباحثان تجربتهما مع شركة "فيات كرايسلر" التي صنعت السيارة، وقد عالجت الثغرة الأمنية في نظام التشغيل.

منذئذ، أدخلت شركات صناعة السيارات كثيراً من خصائص الأمن السيبراني في أنظمة منتجاتها، وسرعان ما وجد الباحثان وظائف في مجال الأمن السيبراني، لكن مزيداً من نقاط الضعف تظهر في ظل اعتماد النظم الحوسبية المتزايد في السيارات.

قال كين تيندل، كبير مسؤولي التقنية لدى شركة "كانيس أوتوموتيف لابس" (Canis Automotive Labs) لتأمين السيارات في بريطانيا، إن الأمان عقبة تواجه صناعة الحوسبة في جميع جوانبها، لكن شركات صناعة السيارات تواجه صعوبات خاصة لأن الناس يميلون للاحتفاظ بسياراتهم لفترات أطول بكثير من هواتفهم الذكية.

قال تيندل: "السيارات التي ترونها تشبه ضوء النجوم، لأنها تمثل حالة الصناعة ليس كما هي الآن، بل قبل عدة سنوات خلت... سبب الارتفاع الكبير في سرقات السيارات حالياً هو أن حفنة من المجرمين ذوي المهارة التقنية يصممون أجهزة لأغراض السرقة يسهل على لصوص الشوارع استخدامها لاختراق السيارات الشهيرة التي تعتريها نقاط ضعف أمنية".

فيما يمكن حل بعض المشاكل عبر إلزام مالكي السيارات بزيارة مراكز البيع لتحديث برمجياتها حين تكتشف شركات السيارات أوجه قصور في منتجاتها، غير أن علاج بعضها الآخر أصعب.

ابتكارات اللصوص

نشرت شركة تيندل تقريراً في أبريل وثقت فيه اختراق سيارة "تويتا راف فور" (Toyota RAV4) سُرقت العام الماضي. كان تيندل قد عمل مع إيان تابور مالك السيارة، وهو باحث مستقل في شؤون الأمن السيبراني، للوقوف على كيفية تنفيذ اللصوص لسرقة السيارة عبر إزالة المصباح الأمامي والولوج إلى الشبكة الداخلية التي تمكن أجزاء السيارة المختلفة من التواصل مع بعضها البعض.

استيقظ تابور مرتين ليجد أن أضراراً جسيمة قد لحقت بسيارته خلال الأسابيع التي سبقت السرقة، على رأسها إزالة المصد الأمامي وتمزيق أسلاك المصابيح الأمامية بشكل كبير، ما تسبب بتعطيلها. نشر تابور صوراً على مواقع التواصل الاجتماعي، معبراً عن استيائه مما تصور أنه مجرد أعمال تخريب.

لكن بعد السرقة، استخدم الباحثون تطبيقاً يتتبع تقنيات المعلومات على متن السيارة للتأكد من كيفية سرقتها، وبحثوا في منتديات مرتكبي الجرائم الإلكترونية. وجد الباحثون مجرمين أجهزة قرصنة مطروحة للبيع وإرشادات حول كيفية استخدامها لسرقة السيارات بمقابل مادي. كان هناك أجهزة لاستهداف سيارات بعينها، منها "بي إم دبليو" و"كاديلاك" و"هوندا" و"جاغوار" و"مازاراتي".

تسلا" تكشف عن أول طراز محدث من سيارتها الشهيرة "موديل 3"

ذكر التقرير أن الباحثين اشتروا جهازاً من أحد تلك الأجهزة، وهو سماعة بلوتوث معدّلة باستخدام شريحة إلكترونية مقحمة مع لوحة دارات السماعة الرئيسية، وهي تحمل شفرة برمجية "خبيثة". فعلوا الشريحة المخبأة عبر الضغط على زر تشغيل السماعة، فأرسلت رسالة إلى نظام السيارة بفتح أبوابها. بعدها تمكنوا من فصل جهاز الاختراق ودخول السيارة وتشغيل محركها من الداخل.

قال متحدث باسم شركة "تويوتا"، في رسالة عبر البريد الإلكتروني، إن شركته "تعمل باستمرار على تطوير حلول تقنية لتأمين السيارات بشكل أكبر" وإن مثل هذه الأجهزة لا ينبغي أن تكون متاحة للبيع عبر الإنترنت.

ثغرات "تسلا"

تقوم أعمال "سايناكتيف" بالأساس على إجراء "اختبارات الاختراق" لعملاء من خارج مجال صناعة السيارات، لكن الشركة قررت تركيز بحثها على سيارات "تسلا" نظراً لما تتمتع به من شعبية وشهرة واسعة كسيارات مصممة لصد الهجمات الإلكترونية.

كشفت معظم الأبحاث الأمنية المنشورة حول سيارات "تسلا" أن ثمة عيوب أمنية تشوب الخدمات السحابية التي يستخدمها مالكو السيارات الكهربائية، وليس السيارات نفسها.

كما وجد مراهق ألماني يُدعى ديفيد كولومبو في 2022 ثغرة في تطبيق خارجي يستخدمه بعض مالكي سيارات "تسلا" لجمع وتحليل بيانات سياراتهم، وقد مكنته من الوصول إلى سجل حركة تلك السيارات والسيطرة على بعض الوظائف التي فعّلها أصحابها عبر التطبيق، بما يشمل فتح وإغلاق الأبواب عن بعد وإطلاق بوق السيارة.

بينما كشفت أبحاث "سايناكتيف" عن عيوب خطيرة في برمجيات سيارات "تسلا" نفسها، حيث رصدت تجارب خبرائها ثلاث نقاط ضعف في مارس خلال مسابقة (Pwn2Own)، وقد مكنتهم تلك العيوب الثلاثة من اختراق خصائص الأمن والسلامة الرئيسية في سيارة "تسلا موديل 3"، بما يشمل التحكم في تلك الخصائص خلال سيرها، وهو أخطرها.

"سيسكو" تحذّر من تزايد الاحتيال الإلكتروني بسبب الذكاء الاصطناعي

احتاج فريق "سايناكتيف" لأن يدخل نطاق اتصال بلوتوث في سيارة "تسلا" ليتمكن من اختراق النظام الإلكتروني. استطاعوا تفعيل شفرة برمجية "خبيثة" لاختراق نظام المعلومات والترفيه في السيارة وتطبيقات أخرى أهم دون لمس السيارة، متجاوزين تدابير الأمن السيبراني الأساسية بالنظام. لكنهم لم يتمكنوا من التحكم بعجلة القيادة أو دواسة السرعة، المحميين بمستويات أمن إضافية.

تطور عناصر الأمان

فاز عرض الشركة التوضيحي لكيفية اختراق السيارة بجائزة قيمتها 350 ألف دولار وسيارة "تسلا موديل 3" جديدة. لم ترد "تسلا" على أي من الطلبات للتعليق على الأمر، لكنها كانت منخرطة في المسابقة منذ 2019 وقدمت السيارة التي فازت بها "سايناكتيف" كجائزة، وفقاً لداستين تشايلدز رئيس إدارة التوعية بالمخاطر في مبادرة "زيرو داي" من "تريند مايكرو".

لطالما دعت صانعة السيارات الكهربائية القراصنة غير الخبيثين للبحث عن ثغرات في تقنيتها، وبدأت برنامج "مكافأة اكتشاف الخلل" منذ 2014 لتشجيع ذلك، وفقاً لنشرات إعلامية وبيانات عمومية تصدرها الشركة.

أكدت "سايناكتيف" أن "تسلا" عالجت الخلل الذي شاب أنظمتها. كما رجح باحثوها أنهم سيشاركوا في مسابقة (Pwn2Own) العام المقبل، لكنهم كبحوا توقعاتهم بالفوز جراء التعديلات الأمنية التي أدخلتها "تسلا".

قال فنسنت دور، أحد باحثي "سيناكتيف" الذين عكفوا على اختراق سيارات "تسلا" إن: "الصعوبة كانت تزداد في كل عام على الباحثين للقيام باكتشافات مميزة ومؤثرة حول نظم تشغيل سيارات (تسلا) الإلكترونية... غالباً سنشارك، لكننا لا نعلم ما إذا كان بوسعنا الفوز. نعتقد أن ذلك بات صعباً، بل شديد الصعوبة".