ثغرة تسمح بتعطيل جهاز إنذار سيارة ميتسوبيشي أوتلاندر

مصدر الصورة Mitsubishi
Image caption يُعتقد بأن ميتسوبيشي باعت نحو 100 ألف سيارة أوتلاندر هجينة

توصل باحثون إلى أنه من الممكن تعطيل خاصية الإنذار في سيارة ميتسوبيشي أوتلاندر الهجينة من خلال ثغرات أمنية موجودة في جهاز الاتصال اللاسلكي (واي فاي) داخل المركبة.

ووجود هذه الثغرة يعني أن اللصوص قد يتاح أمامهم الوقت الكافي لدخول السيارة وسرقتها.

ويمكن استغلال هذا الخلل أيضا في التلاعب ببعض الإعدادات الخاصة بالسيارة واستنفاد بطاريتها.

ونصحت ميتسوبيشي المستخدمين بإغلاق شبكة الواي فاي فيما بدأت التحقيق في هذه المشكلات في النظام.

مساعدة اللصوص

وقال الخبير الأمني كين مونرو إن المشكلة ظهرت حينما كان ينتظر خروج أبنائه من المدرسة ولاحظ ظهور نقطة دخول لشبكة الواي فاي على هاتفه الذكي بشكل مفاجئ.

واكتشف مونرو أن ذلك كان في سيارة ميتسوبيشي أوتلاندر موجودة بالقرب منه يملكها أحد أصدقائه، الذي أطلعه لاحقا على تطبيق خاص وكيف يمكن استخدامه للتحكم في بعض خواص المركبة.

وقال لبي بي سي "بدأت أفحصه، وأدركت سريعا أنه عرضة للاختراق، ولذا أوقفته".

اشترى مونرو بعد ذلك سيارة أوتلاندر وبدأ يدرس كيف يتعامل صاحب السيارة مع سيارته عبر هذا التطبيق.

ويستخدم العديد من شركات تصنيع السيارات الأخرى خدمة تقوم على الانترنت وتدعم التطبيقات الخاصة بالسيارات، حتى يتسنى لأصحابها إغلاقها عن بعد أو التحكم فيها بطريقة أو بأخرى. وفي المعتاد، تمر الأوامر التي تُرسل إلى السيارة عبر هذه الخوادم قبل إرسالها للسيارة عبر شبكة الهاتف المحمول.

وعلى النقيض، قررت ميتسوبيشي السماح بربط التطبيقات بالسيارة فقط عن طريق شبكة الواي فاي. لكن لسوء الطالع، كانت هناك عيوب خطيرة في طريقة تركيب شبكة الواي فاي، حسبما أوضح مونرو.

وقال مونرو إن الصيغة الخاصة باسم نقطة الدخول في السيارة كانت واضحة جدا ومميزة، وهذا سمح بتسجيل مكان العديد من سيارات ميتسوبيشي الهجينة على المواقع التي تجمع أسماء نقاط الدخول.

وقال مونرو في مقال على مدونة يتضمن النتائج التي توصلت إليها دراسته إنه "جرى تحديد مكان بعض السيارات أثناء القيادة، وأخرى أثناء وجودها في أماكن الانتظار بمنازل أصحابها. ولذلك، فإن اللص أو المخترق يمكنه بسهولة تحديد مكان واحدة من هذه السيارات التي تثير اهتمامه".

مصدر الصورة Nissan
Image caption باحثون أمنيون اكتشفوا في فبراير/شباط الماضي ثغرات في سيارة نيسان ليف

إصلاح قصير المدى

ورغم أن مونرو اشترى السيارة، فإنه وزملاءه في شركة "بن تست بارتنرز" الأمنية أجروا دراستهم وكأنهم لا يملكونها على الإطلاق. واستخدم مونرو وزملاؤه تقنيات شهيرة تسمح للباحثين بالتوسط بين السيارة وصاحبها ومتابعة البيانات وهي تتدفق بين الاثنين.

واستخدم الفريق هذه التقينات لإعادة تشغيل الأوامر التي تُرسل إلى السيارة، وتسمح بتشغيل الإضاءة وتعديل الإعدادات الخاصة بشحن البطارية واستنفاد طاقتها.

وقال مونرو إنه أصيب بـ"صدمة" حينما اكتشف أنه يمكنه أيضا إغلاق جهاز إنذار السيارة من خلال ما يُعرف بهجوم إعادة الإرسال عبر الشبكة.

وأوضح أن اللص الذي يكون متأكدا من عدم إمكانية وقف جهاز الإنذار سيكون لديه متسع من الوقت لاستخدام تقنيات أخرى لفتح السيارة والدخول إليها إليكترونيا.

وأضاف "بمجرد فتح السيارة، فإن هناك إمكانية لهجمات أخرى عديدة. ويصبح من الممكن الدخول إلى خاصية التشخيص الذاتي للسيارة بمجرد فتح الباب (إليكترونيا)".

وقُدم عرض توضيحي بالمشاكل الموجودة في شبكة الواي فاي الخاصة بالسيارة لمسؤولين من شركة ميتسوبيشي في 3 يونيو/ حزيران الجاري، وأظهر هذا العرض أن الخلل لا يزال موجودا في النسخة الأحدث من التطبيق.

وأعرب مونرو عن إعجابه الشديد بمستوى التعاون الذي أبداه مسؤولو ميتسوبيشي في جهود التعرف على الثغرات ومحاولة التوصل إلى سبل لإصلاحها.

وقالت ميتسوبيشي في بيان إن "هذا الاختراق هو الأول لنا، إذ أنه لم يُعلن سابقا عن أي (اختراق) آخر في أي مكان آخر في العالم".

وأكدت أنها تأخذ "المسألة بجدية"، وأنها كانت حريصة على أن تقنع مونرو بالتحدث إلى مهندسي الشركة في اليابان ليعرفوا النتائج التي توصل إليها وكيف يمكن علاج هذه الثغرات.

وأضافت أنه بالرغم من أن الثغرات كانت "مزعجة بشكل واضح"، فإن الاختراق لم يؤثر سوى على تطبيق السيارة، ويسمح فقط لأي مهاجم بدخول محدود إلى أنظمة السيارة.

وشددت على أنه "ينبغي التذكير بأنه بدون وجود جهاز للتحكم عن بعد، فإنه لا يمكن تشغيل السيارة وقيادتها".

وبالرغم من أن ميتسوبيشي بدأت التحقيق بالفعل في هذه الثغرات، فإنها نصحت أصحاب السيارات بتعطيل خاصية الواي فاي على التطبيق، أو استخدام إجراءات إلغاء التطبيق عن بعد.

وأوضح مونرون أن إصلاح الخلل على المدى الطويل سيتطلب بعض الإجراءات من ميتسوبيشي نفسها.

وقال "ينبغي استخدام برمجيات ثابتة جديدة على الفور لإصلاح هذه المشكلة بالشكل المناسب، حتى يتسنى الاستمرار في استخدام التطبيق عبر الهاتف" للتحكم في السيارة.

المزيد حول هذه القصة