“كاسبرسكي لاب” ضعف الأمن يترك تطبيقات مشاركة السيارات عُرضةً للتهديدات

كاسبرسكي

أجرى باحثون لدى كاسبرسكي لاب اختبارات للتعرف على مستويات الأمن في مجموعة من تطبيقات مشاركة السيارات من إنتاج شركات معروفة حول العالم، بينها تطبيقات من روسيا والولايات المتحدة وأوروبا.

ووجد خبراء الشركة أن جميع التطبيقات التي خضعت للفحص تحتوي على عددً من المشاكل الأمنية التي قد تسمح للمجرمين بالاستيلاء على السيارات المتشاركة، إما بالتخفّي أو بانتحال شخصية مستخدم آخر. ويصبح بوسع المجرم فعل أي شيء تقريباً لحظة حصوله على إمكانية الدخول إلى التطبيق، بدءاً من سرقة المركبة أو معلوماتها، ووصولاً إلى إلحاق الضرر بها أو استخدامها في أغراض خبيثة.

  وأجرى باحثو كاسبرسكي لاب اختبارات على 13 تطبيقاًلمشاركة السيارات، لمعرفة مدى عُمق هذه المشكلة، طوّرها مصنّعون بارزون من مختلف الأسواق، وكشف البحث عن أن جميع التطبيقات المفحوصة ضمت بضع مشاكل أمنية. وعلاوة على ذلك، وجد الباحثون أن مجرمي الإنترنت يستغلون حسابات مسروقة في استخدامهم هذه التطبيقات.

 واشتملت نقاط الضعف الأمنية المكتشفة على:

·         انعدام الوسائل الكفيلة بمنع هجمات الوسيط، وهذا يعني قدرة المهاجم على تحويل حركة البيانات الخاصة بالتطبيق إلى موقعه الخاص ، ما يسمح للمجرم بأخذ ما يشاء من بيانات شخصية أدخلتها الضحية،كاسم المستخدم وكلمة المروروالرمز الشخصي، وغيرها.

·         انعدام الدفاع ضد الهندسة العكسية للتطبيق،وهي التي تقوم على اكتشاف المبادئ التقنية للتطبيق عبر تحليل بنيته ووظيفته وطريقة عمله، ونتيجة لذلك، يستطيع المجرم فهم آلية عمل التطبيق والبحث عن نقطة ضعف تتيح له الدخول إلى البنية التحتية من جهة الخوادم.

·         انعدام أساليب الكشف عن عمليات التغيير الجذرية Rooting،وتعطي حقوق التغيير الجذري المستخدم الخبيث إمكانيات واسعة،من شأنها جعل التطبيق مكشوفاً بلا أي تحصين.

·         انعدام الحماية مما يُعرف بأساليب النقل الكُتلي للبيانات Overlaying، وهو ما يتيح للتطبيقات الخبيثة فتح نوافذ للتصيّد وسرقة معلومات اعتماد الدخول الخاصة بالمستخدمين.

·         أقل من نصف التطبيقات تتطلب كلمات مرور قوية من المستخدمين، ما يعني أن المجرمين بإمكانهم مهاجمة الضحية في سيناريو هجوم القوة العمياء الذي يعتمد على محاولة تجربة كل كلمات المفاتيح المحتملة لاختراق التطبيق.

 ويستطيع المهاجم، بمجرّد تمكّنه من اختراق التطبيق، التحكم بالسيارة بتخفٍّ واستعمالها لأغراض خبيثة،كالركوب مجاناً والتجسس على المستخدمينوحتى سرقة المركبة وتفاصيلها، وصولاً إلى سيناريوهات أخطر، مثل سرقة بيانات المستخدمين وبيعها في السوق السوداء. وقد يؤدي هذا لارتكاب المجرمين أفعالاً غير قانونية وخطرة على الطرقات بالسيارات المسروقة، متخفّين تحت هويات الآخرين.

 وكشفڤيكتور شيبيشيڤ، الخبير الأمني لدى كاسبرسكي لاب، عن توصُّل البحث إلى أن تطبيقات مشاركة السيارات، في وضعها الحالي”ليست مهيأة لتحمّل هجمات من برمجيات خبيثة”، وقال: “يُدرك المجرمون الإلكترونيون القيمة التي تحملها تلك التطبيقات، بغضّ النظر عن عدم اكتشافنا لأيّ حالات هجماتٍ معقدةٍ على خدمات مشاركة السيارات إلى الآن، وتشير العروض السعرية المتاحة في السوق السوداء إلى أن الجهات المنتجة للتطبيقات عموماً ليس لديها الوقت لإزالة الثغرات من تطبيقاتها”.

 وينصح الباحثون في كاسبرسكي لاب مستخدمي تطبيقات مشاركة السيارات باتباع الإجراءات التالية لحماية سياراتهم وبياناتهم الشخصية من الهجمات الإلكترونية المحتملة:

·         عدم القيام بإجراء تعديل جذري على جهاز “أندرويد” لأنه قد يتيح للتطبيقات الخبيثة إمكانيات تخريب واسعة.

·         إبقاء نظام التشغيل على الجهاز محدثاً باستمرار لتقليل الثغرات في البرمجيات وخفض احتمالات وقوع الهجمات.

·         تحميل حلّأمنيموثوق به لحماية الجهاز من الهجمات الرقمية.

 

اترك تعليقاً

البريد الالكترونى الخاص بك لن يتم نشره. حقول مطلوبة *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>