ضعف الأمن يترك تطبيقات مشاركة السيارات عُرضةً للتهديدات

أجرى باحثون لدى كاسبرسكي لاب اختبارات للتعرف على مستويات الأمن في مجموعة من تطبيقات مشاركة السيارات من إنتاج شركات معروفة حول العالم، بينها تطبيقات من روسيا والولايات المتحدة وأوروبا. ووجد خبراء الشركة أن جميع التطبيقات التي خضعت للفحص تحوي عدداً من المشاكل الأمنية التي قد تسمح للمجرمين بالاستيلاء على السيارات المتشاركة، إما بالتخفّي أو بانتحال شخصية مستخدم آخر. ويصبح بوسع المجرم فعل أي شيء تقريباً لحظة حصوله على إمكانية الدخول إلى التطبيق، بدءاً من سرقة المركبة أو معلوماتها، ووصولاً إلى إلحاق الضرر بها أو استخدامها في أغراض خبيثة.

وتأتي تطبيقات مشاركة السيارات من المنطلق نفسه الذي أتت منه جميع التطبيقات الأخرى التي صُمّمت لتسهيل الشؤون المعيشية وإجراء مختلف المعاملات بيُسر وسهولة، ومن ذلك إتاحتها المجال أمام توصيل الطعام ومشاركة السيارات وطلب سيارات الأجرة، بطريقة تتيح الانتفاع من الخدمات بتكاليف معقولة. وتتسم تطبيقات مشاركة السيارات بإضفائها قيمة عالية على حياة محدودي الدخل، كونها تتيح استخدام لهم استخدام السيارات المشتركة من دون تحمّل التكاليف المرتبطة بامتلاك سيارة وتلبية مستلزماتها وإجراء الصيانة لها، لكن هذه التطبيقات، مع ذلك، قد تنطوي على خطر أمني جديد لكل من المصنّعين والمستخدمين.

وأجرى باحثو كاسبرسكي لاب اختبارات على 13 تطبيقاً لمشاركة السيارات، لمعرفة مدى عُمق هذه المشكلة، طوّرها مصنّعون بارزون من مختلف الأسواق، وجميعها جرى تنزيلها فوق المليون مرة حسب إحصاءات متجر “جوجل بلاي”. وكشف البحث عن أن جميع التطبيقات المفحوصة حوَت بضع مشاكل أمنية. وعلاوة على ذلك، وجد الباحثون أن مجرمي الإنترنت يستغلون حسابات مسروقة في استخدامهم هذه التطبيقات.

واشتملت نقاط الضعف الأمنية المكتشفة على:

انعدام الوسائل الكفيلة بمنع هجمات الوسيط، وهذا يعني قدرة المهاجم على تحويل حركة البيانات الخاصة بالتطبيق إلى موقعه الخاص، بالرغم من نزاهة التطبيق واعتقاد المستخدم بأمنه، ما يسمح للمجرم بأخذ ما يشاء من بيانات شخصية أدخلتها الضحية، كاسم المستخدم وكلمة المرور والرمز الشخصي، وغيرها.

انعدام الدفاع ضد الهندسة العكسية للتطبيق، وهي التي تقوم على اكتشاف المبادئ التقنية للتطبيق عبر تحليل بنيته ووظيفته وطريقة عمله، ونتيجة لذلك، يستطيع المجرم فهم آلية عمل التطبيق والبحث عن نقطة ضعف تتيح له الدخول إلى البنية التحتية من جهة الخوادم.

انعدام أساليب الكشف عن عمليات التغيير الجذرية Rooting، وتعطي حقوق التغيير الجذري المستخدم الخبيث إمكانيات واسعة، من شأنها جعل التطبيق مكشوفاً بلا أي تحصين.

انعدام الحماية مما يُعرف بأساليب النقل الكُتلي للبيانات Overlaying، وهو ما يتيح للتطبيقات الخبيثة فتح نوافذ للتصيّد وسرقة معلومات اعتماد الدخول الخاصة بالمستخدمين.

أقل من نصف التطبيقات تتطلب كلمات مرور قوية من المستخدمين، ما يعني أن المجرمين بإمكانهم مهاجمة الضحية في سيناريو هجوم القوة العمياء الذي يعتمد على محاولة تجربة كل كلمات المفاتيح المحتملة لاختراق التطبيق.

ويستطيع المهاجم، بمجرّد تمكّنه من اختراق التطبيق، التحكم بالسيارة بتخفٍّ واستعمالها لأغراض خبيثة، كالركوب مجاناً والتجسس على المستخدمين وحتى سرقة المركبة وتفاصيلها، وصولاً إلى سيناريوهات أخطر، مثل سرقة بيانات المستخدمين وبيعها في السوق السوداء. وقد يؤدي هذا لارتكاب المجرمين أفعالاً غير قانونية وخطرة على الطرقات بالسيارات المسروقة، متخفّين تحت هويات الآخرين.

وكشف ڤيكتور شيبيشيڤ، الخبير الأمني لدى كاسبرسكي لاب، عن توصُّل البحث إلى أن تطبيقات مشاركة السيارات، في وضعها الحالي “ليست مهيأة لتحمّل هجمات من برمجيات خبيثة”، وقال: “يُدرك المجرمون الإلكترونيون القيمة التي تحملها تلك التطبيقات، بغضّ النظر عن عدم اكتشافنا لأيّ حالات هجماتٍ معقدةٍ على خدمات مشاركة السيارات إلى الآن، وتشير العروض السعرية المتاحة في السوق السوداء إلى أن الجهات المنتجة للتطبيقات عموماً ليس لديها الوقت لإزالة الثغرات من تطبيقاتها”.

وينصح الباحثون في كاسبرسكي لاب مستخدمي تطبيقات مشاركة السيارات باتباع الإجراءات التالية لحماية سياراتهم وبياناتهم الشخصية من الهجمات الإلكترونية المحتملة:

عدم القيام بإجراء تعديل جذري على جهاز “أندرويد” لأنه قد يتيح للتطبيقات الخبيثة إمكانيات تخريب واسعة.

إبقاء نظام التشغيل على الجهاز محدثاً باستمرار لتقليل الثغرات في البرمجيات وخفض احتمالات وقوع الهجمات.

تحميل حلّ أمني موثوق به لحماية الجهاز من الهجمات الرقمية.