ثغرات أمان في بوابة صانع سيارات تسمح باختراق المركبات عن بُعد

قال باحث أمني إن الثغرات في بوابة الوكالة عبر الإنترنت لأحد صانعي السيارات كشفت عن المعلومات الخاصة وبيانات المركبات لعملائها، وقد تسمح للقراصنة باختراق أي من مركبات عملائها عن بُعد.

اكتشاف الثغرات

أخبر إيتون زفاري، الذي يعمل كباحث أمني في شركة Harness لتسليم البرمجيات، موقع TechCrunch أن الثغرة التي اكتشفها سمحت بإنشاء حساب إداري يمنح “وصولاً غير محدود” إلى بوابة الويب المركزية لصانع السيارات غير المسمى.

الوصول غير المصرح به

مع هذا الوصول، كان بإمكان القراصنة الخبيثين عرض البيانات الشخصية والمالية لعملاء صانع السيارات، تتبع المركبات، وتسجيل العملاء في ميزات تسمح للمالكين – أو القراصنة – بالتحكم في بعض وظائف سياراتهم من أي مكان.

تسليط الضوء على الأمان

قال زفاري إنه لا يخطط لذكر اسم البائع، لكنه قال إنه كان صانع سيارات معروف على نطاق واسع مع عدة علامات فرعية شهيرة.

ثغرات في نظام تسجيل الدخول

في مقابلة مع TechCrunch قبل حديثه في مؤتمر Def Con للأمن في لاس فيغاس يوم الأحد، قال زفاري إن الأخطاء سلطت الضوء على أمان هذه الأنظمة التي تمنح موظفيها وشركائها وصولاً واسعاً إلى معلومات العملاء والمركبات.

تجاوز آلية تسجيل الدخول

قال زفاري، الذي وجد ثغرات في أنظمة العملاء لصانعي السيارات وأنظمة إدارة المركبات من قبل، إنه اكتشف الثغرة في وقت سابق من هذا العام كجزء من مشروع في عطلة نهاية الأسبوع. وأشار إلى أن الثغرات كانت مشكلة لأن الشيفرة المعيبة كانت تُحمّل في متصفح المستخدم عند فتح صفحة تسجيل الدخول للبوابة، مما يسمح للمستخدم – في هذه الحالة، زفاري – بتعديل الشيفرة لتجاوز فحوصات أمان تسجيل الدخول.

البيانات الحساسة

عند تسجيل الدخول، منح الحساب الوصول إلى أكثر من 1000 من وكلاء صانع السيارات عبر الولايات المتحدة، كما أخبر TechCrunch.

أداة البحث عن المستهلكين

قال زفاري إن إحدى الأشياء التي وجدها داخل بوابة الوكالة كانت أداة بحث وطنية للمستهلكين تسمح للمستخدمين المسجلين في البوابة بالبحث عن بيانات المركبة والسائق لذلك الصانع. في مثال واقعي، أخذ زفاري رقم تعريف المركبة الفريد من زجاج سيارة في موقف عام واستخدم الرقم لتحديد مالك السيارة.

التحكم عن بُعد

قال زفاري إنه كان من الممكن أيضاً ربط أي مركبة بحساب موبايل، مما يسمح للعملاء بالتحكم عن بُعد في بعض وظائف سياراتهم من تطبيق، مثل فتح سياراتهم.

تأثيرات خطيرة

قال زفاري إنه لم يختبر ما إذا كان يمكنه القيادة بعيداً، لكنه قال إن الاستغلال يمكن أن يُساء استخدامه من قبل اللصوص لاقتحام وسرقة العناصر من المركبات، على سبيل المثال.

مشاكل في نظام تسجيل الدخول الموحد

كانت مشكلة رئيسية أخرى مع الوصول إلى بوابة هذا الصانع هي أنه كان من الممكن الوصول إلى أنظمة الوكلاء الآخرين المرتبطة بنفس البوابة من خلال تسجيل الدخول الموحد، وهي ميزة تسمح للمستخدمين بتسجيل الدخول إلى أنظمة أو تطبيقات متعددة باستخدام مجموعة واحدة من بيانات الاعتماد. قال زفاري إن أنظمة الصانع للوكلاء كلها مترابطة، لذا من السهل الانتقال من نظام إلى آخر.

خاتمة

قال زفاري إن الأخطاء استغرقت حوالي أسبوع لإصلاحها في فبراير 2025 بعد إبلاغه للصانع.

“الدرس المستفاد هو أن ثغرتين بسيطتين في واجهة برمجة التطبيقات فتحت الأبواب، ودائماً ما يتعلق الأمر بالمصادقة”، قال زفاري. “إذا كنت ستخطئ في ذلك، فإن كل شيء ينهار.”