الإثنين 15 رمضان / 20 مايو 2019
05:27 م بتوقيت الدوحة

تحوي مشاكل تسمح للمجرمين بالاستيلاء على المركبات

خبراء يحذرون من تطبيقات مشاركة السيارات التي تنتجها شركات عالمية

الدوحة - العرب

السبت، 28 يوليه 2018
خبراء يحذرون من تطبيقات مشاركة السيارات التي تنتجها شركات عالمية
خبراء يحذرون من تطبيقات مشاركة السيارات التي تنتجها شركات عالمية
أجرى باحثون لدى «كاسبرسكي لاب» اختبارات للتعرف على مستويات الأمن في مجموعة من تطبيقات مشاركة السيارات من إنتاج شركات معروفة حول العالم، بينها تطبيقات من روسيا والولايات المتحدة وأوروبا.

ووجد خبراء الشركة أن جميع التطبيقات التي خضعت للفحص تحوي عدداً من المشاكل الأمنية التي قد تسمح للمجرمين بالاستيلاء على السيارات المتشاركة، إما بالتخفي أو بانتحال شخصية مستخدم آخر. ويصبح بوسع المجرم فعل أي شيء تقريباً لحظة حصوله على إمكانية الدخول إلى التطبيق، بدءاً من سرقة المركبة أو معلوماتها، ووصولاً إلى إلحاق الضرر بها أو استخدامها في أغراض خبيثة.

تأتي تطبيقات مشاركة السيارات من المنطلق نفسه الذي أتت منه جميع التطبيقات الأخرى التي صُمّمت لتسهيل الشؤون المعيشية وإجراء مختلف المعاملات بيسر وسهولة، ومن ذلك إتاحتها المجال أمام توصيل الطعام ومشاركة السيارات وطلب سيارات الأجرة، بطريقة تتيح الانتفاع من الخدمات بتكاليف معقولة.

وتتسم تطبيقات مشاركة السيارات بإضفائها قيمة عالية على حياة محدودي الدخل؛ كونها تتيح لهم استخدام السيارات المشتركة من دون تحمّل التكاليف المرتبطة بامتلاك سيارة وتلبية مستلزماتها وإجراء الصيانة لها. لكن هذه التطبيقات، مع ذلك، قد تنطوي على خطر أمني جديد لكل من المصنّعين والمستخدمين.

وأجرى باحثو «كاسبرسكي لاب» اختبارات على 13 تطبيقاً لمشاركة السيارات، لمعرفة مدى عُمق هذه المشكلة، طورها مصنّعون بارزون من مختلف الأسواق، وجميعها جرى تنزيلها فوق المليون مرة حسب إحصاءات متجر «جوجل بلاي». وكشف البحث عن أن جميع التطبيقات المفحوصة حوَت بضع مشاكل أمنية. وعلاوة على ذلك، وجد الباحثون أن مجرمي الإنترنت يستغلون حسابات مسروقة في استخدامهم هذه التطبيقات.

نقاط الضعف الأمنية المكتشفة

• انعدام الوسائل الكفيلة بمنع هجمات الوسيط، وهذا يعني قدرة المهاجم على تحويل حركة البيانات الخاصة بالتطبيق إلى موقعه الخاص، بالرغم من نزاهة التطبيق واعتقاد المستخدم بأمنه؛ ما يسمح للمجرم بأخذ ما يشاء من بيانات شخصية أدخلتها الضحية، كاسم المستخدم، وكلمة المرور، والرمز الشخصي، وغيرها.

• انعدام الدفاع ضد الهندسة العكسية للتطبيق، وهي التي تقوم على اكتشاف المبادئ التقنية للتطبيق عبر تحليل بنيته ووظيفته وطريقة عمله. ونتيجة لذلك، يستطيع المجرم فهم آلية عمل التطبيق، والبحث عن نقطة ضعف تتيح له الدخول إلى البنية التحتية من جهة الخوادم.

• انعدام أساليب الكشف عن عمليات التغيير الجذرية (Rooting)، وتعطي حقوق التغيير الجذري المستخدم الخبيث إمكانيات واسعة، من شأنها جعل التطبيق مكشوفاً بلا أي تحصين.

• انعدام الحماية مما يُعرف بأساليب النقل الكتلي للبيانات (Overlaying)، وهو ما يتيح للتطبيقات الخبيثة فتح نوافذ للتصيد وسرقة معلومات اعتماد الدخول الخاصة بالمستخدمين.

• أقل من نصف التطبيقات تتطلب كلمات مرور قوية من المستخدمين؛ ما يعني أن المجرمين بإمكانهم مهاجمة الضحية في سيناريو هجوم القوة العمياء الذي يعتمد على محاولة تجربة كل كلمات المفاتيح المحتملة لاختراق التطبيق.

ويستطيع المهاجم -بمجرد تمكّنه من اختراق التطبيق- التحكم بالسيارة بتخفٍّ واستعمالها لأغراض خبيثة، كالركوب مجاناً، والتجسس على المستخدمين، وحتى سرقة المركبة وتفاصيلها، وصولاً إلى سيناريوهات أخطر، مثل: سرقة بيانات المستخدمين وبيعها في السوق السوداء. وقد يؤدي هذا إلى ارتكاب المجرمين أفعالاً غير قانونية وخطرة على الطرقات بالسيارات المسروقة، متخفّين تحت هويات الآخرين.

وكشف ?يكتور شيبيشي? -الخبير الأمني لدى «كاسبرسكي لاب»- عن توصّل البحث إلى أن تطبيقات مشاركة السيارات في وضعها الحالي «ليست مهيأة لتحمّل هجمات من برمجيات خبيثة».

وقال: «يدرك المجرمون الإلكترونيون القيمة التي تحملها تلك التطبيقات، بغضّ النظر عن عدم اكتشافنا لأي حالات هجمات معقدة على خدمات مشاركة السيارات إلى الآن.

وتشير العروض السعرية المتاحة في السوق السوداء إلى أن الجهات المنتجة للتطبيقات عموماً ليس لديها الوقت لإزالة الثغرات من تطبيقاتها».

التعليقات

لا يوجد تعليقات على الخبر.