في عالم السيارات الكهربائية المتزايد، تبرز التحديات الأمنية كأحد القضايا الرئيسية. خلال مسابقة Pwn2Own، تم الكشف عن طرق جديدة لاختراق الأنظمة.
كانت مجرد لمسة بسيطة لبطاقة بالقرب من شاحن السيارة الكهربائية كافية لتنفيذ تجاوز مؤقت والسيطرة على نظامها الآلي.
كانت هذه العرض جزءًا من مسابقة Pwn2Own السنوية التي تركز على السيارات في طوكيو، حيث تمكن باحث أمني من فريق Synacktiv من اختراق شاحن Autel MaxiCharger AC Elite Home 40A باستخدام الاتصال قريب المدى (NFC).
“لقد اقتربوا ببساطة من شاحن السيارة الكهربائية، وضربوه ببطاقة NFC، واستولوا عليه بهذه الطريقة،” يقول داستن تشايلدز، رئيس الوعي بالتهديدات في مبادرة Zero Day من Trend AI. “كان من المدهش رؤية ذلك.”
عرضت المسابقة الثغرات الأمنية المستمرة في العديد من مكونات تكنولوجيا المعلومات والتكنولوجيا التشغيلية (OT) لأنظمة السيارات. في اليومين الأولين من المسابقة التي استمرت ثلاثة أيام، عرض الباحثون 66 ثغرة فريدة من نوعها، وفازوا بما يقرب من مليون دولار. نجح حوالي خمسة من كل ستة محاولات، لكن حوالي ثلث المحاولات شهدت واحدة أو أكثر من “التصادمات” – حيث حاول الباحثون استغلال ثغرة تم استخدامها سابقًا في المسابقة.
ركزت معظم الهجمات على أنظمة المعلومات والترفيه داخل السيارة (IVI) أو شواحن السيارات الكهربائية (EV). كانت أنظمة المعلومات والترفيه غالبًا عرضة لأخطاء بسيطة غير مصححة، بينما بدت شواحن السيارات الكهربائية أكثر أمانًا، لكنها لا تزال تمتلك سطح هجوم كبير، كما يقول تشايلدز. بالإضافة إلى اختراق جهاز عبر NFC، استخدم باحثون آخرون البلوتوث أو – في شواحن السيارات الكهربائية – مسدس الشحن نفسه.
“إذا كان بالإمكان اختراقه، فسيتم اختراقه في النهاية،” يقول تشايلدز. “الإمكانية لأي اختراق – ما يمكنك فعله مع هذه الأشياء – هو أمر مقلق حقًا لأنك تتحدث عن سيارة … يؤثر ذلك على تشغيل سيارتك، وهو ما قد يكون مشكلة كبيرة.”
بينما كانت الفرق المخترقة ملزمة باختراق ثغرات صفرية غير معروفة سابقًا، فإن الدروس تت echo تلك التي شهدناها في العقد الماضي. منذ اختراق GMC Jeep في عام 2015، استمرت أنظمة المعلومات والترفيه في كونها هدفًا سهلًا.
أنظمة المعلومات والترفيه في السيارات لا تزال سهلة الاختراق
هذا العام، كان على ZDI حظر ثغرات معينة، لأن مصنعي أنظمة المعلومات والترفيه لم يقوموا بعد بتصحيحها من العام السابق. المسابقة الأخيرة هي الثالثة على التوالي التي تستهدف أنظمة السيارات بشكل خاص. عادةً ما تنظم ZDI ثلاث مسابقات في السنة، كل منها تركز على موضوع مختلف.
تعتبر أنظمة IVI هدفًا شائعًا للباحثين عن الثغرات لأنها تميل إلى الوصول إلى معظم أنظمة السيارة وليست محمية بشكل جيد، كما يقول أليكس بلاسكيت، المدير المساعد للبحث الأمني في NCC Group، وهي شركة استشارات أمنية، الذي شارك في مسابقات Pwn2Own السابقة.
“مستوى الأمان في أنظمة IVI بشكل عام ليس على نفس مستوى، على سبيل المثال، هاتف محمول عالي الجودة، مثل iOS وAndroid،” يقول. “أنظمة IVI التي نظرنا إليها كانت تفتقر فقط إلى التخفيفات، وكانت أسهل بكثير للاختراق.”
نظرًا لأن مكونات السيارات غالبًا ما تفتقر إلى تصميم شامل للأمان وعمليات المراجعة، يمكن للمهاجمين أيضًا استخدام الوظائف المقصودة بطرق جديدة، كما تقول ليز جيمس، المستشارة الأمنية المديرة في NCC Group. نحن ندخل في مجال حيث يمكن أن تأتي الاستغلالات من الاستخدام الخبيث للوظائف المقصودة، كما تقول.
“غالبًا، لم تظهر المشكلة بسبب خطأ، ولكن بدلاً من ذلك، بسبب نقص عمق الأمان في الهيكل المحيط بالمهام الإدارية الحساسة – مثل تشخيصات الوكالة، ومطالبات الضمان، وواجهات الخدمة التي أدت إلى عدم توافق القدرات،” تقول. “إذا لم تكن هذه المسارات مؤمنة مع دفاعات متعددة الطبقات، فلن يحتاج المهاجم إلى خطأ؛ يمكنه ببساطة استغلال أدوات الصيانة الخاصة بالنظام لاختراق أسطول.”
طرق إضافية لاكتساب موطئ قدم لاختراقات EV، الشاحن
أظهرت مسابقة هذا العام أيضًا أن القراصنة يجدون جوانب غير معروفة من سطح الهجوم في المركبات لاستخدامها كوسيلة للدخول إلى أنظمة السيارات. بالإضافة إلى الاختراق المذكور من خلال NFC، استخدمت فرق أخرى الإشارات المرسلة عبر مسدس الشحن لشواحن السيارات الكهربائية كوسيلة لاستغلال الأجهزة. في أكثر الحالات نجاحًا، تمكنت الفريق من اختراق شاحن Alpitronic HYC50، وهو شاحن سريع من المستوى 3 يستخدم في الولايات المتحدة ودول أخرى.
“ببساطة بدءًا من سيارة، يمكنك توصيلها ثم اختراق شاحن السيارة الكهربائية،” يقول تشايلدز من ZDI. “ويسير الأمر في الاتجاهين – إنها واحدة من تلك الاتجاهات التي تشبه، واو، هذا مستوى من الاتصال لم نكن نعتقد أنه يحدث.”
بينما تباطأ اعتماد السيارات الكهربائية في الولايات المتحدة، حيث تمثل 8% فقط من مبيعات السيارات الجديدة في عام 2025، إلا أنها لا تزال تمثل ما يقرب من ربع المبيعات العالمية (22%)، وفقًا لوكالة الطاقة الدولية. بالإضافة إلى ذلك، حتى السيارات التي تعمل بالبنزين تتبنى تصاميم تعتمد على البرمجيات، والتي يسهل صيانتها ولكنها تمتلك أيضًا سطح هجوم أكبر.
بينما كانت مضخات الغاز وأنظمة مراقبة الوقود لها نصيبها من الثغرات، فإن الاتصال بين السيارات الكهربائية وبنية الشحن يرفع المخاطر الإضافية، كما تقول جيمس من NCC Group.
“الكهرباء هي المسار الواضح للصناعة، لكن البنية التحتية معرضة لخطر أكبر لأنها متصلة عن قصد،” تشرح. “تُبنى وتُوزع بنية تحتية للسيارات الكهربائية بسرعة عالية، مع دمج وظائف الشبكة في كل طبقة قبل أن تؤسس الصناعة بالكامل أنماط المرونة طويلة الأجل التي نراها في القطاعات القديمة.”
مع استمرار تطور التكنولوجيا، يبقى الأمان في مقدمة الأولويات. من الضروري أن نكون واعين للثغرات وأن نعمل على تعزيز الأمان في جميع أنظمة السيارات.
