في يناير/كانون الثاني 2023، نشر الباحثون النتائج الأولية لعملهم، وهي عبارة عن مجموعة هائلة من نقاط الضعف على شبكة الإنترنت تؤثر على شركات كيا وهوندا وإنفينيتي ونيسان وأكورا ومرسيدس بنز وهيونداي وجينيسيس وبي إم دبليو ورولز رويس وفيراري ــ والتي أبلغوا عنها جميعا لشركات صناعة السيارات. وكتبوا أن أخطاء الويب التي وجدتها المجموعة في ما لا يقل عن نصف دزينة من هذه الشركات قدمت على الأقل بعض مستويات التحكم في ميزات الاتصال في السيارات، تماما كما حدث في أحدث اختراقاتهم لشركة كيا. ويقولون إن شركات أخرى سمحت بالوصول غير المصرح به إلى البيانات أو التطبيقات الداخلية للشركات. ويعتقدون أن شركات أخرى استهدفت برامج إدارة الأسطول لمركبات الطوارئ وكان من الممكن أن تمنع حتى تلك المركبات من البدء ــ رغم أنهم لم يكن لديهم الوسائل لاختبار هذه الحيلة الخطيرة المحتملة بأمان.
في يونيو/حزيران من هذا العام، يقول كاري إنه اكتشف أن تويوتا لا تزال تعاني من خلل مماثل في بوابة الويب الخاصة بها، والذي كان من شأنه، إلى جانب بيانات اعتماد تاجر مسربة وجدها على الإنترنت، أن يسمح بالتحكم عن بعد في ميزات سيارات تويوتا ولكزس مثل التتبع وفتح القفل والنفخ والإشعال. أبلغ عن هذه الثغرة لشركة تويوتا وأظهر لمجلة WIRED رسالة بريد إلكتروني تأكيدية بدا أنها تثبت أنه كان قادرًا على إعادة تعيين نفسه للتحكم في ميزات تويوتا المستهدفة المتصلة عبر الويب. ومع ذلك، لم يصور كاري مقطع فيديو لتقنية اختراق تويوتا هذه قبل إبلاغ تويوتا بها، وسرعان ما قامت الشركة بإصلاح الخلل الذي كشف عنه، حتى أنها أوقفت مؤقتًا بوابة الويب الخاصة بها لمنع استغلالها.
وفي يونيو/حزيران، كتب متحدث باسم تويوتا إلى WIRED: “نتيجة لهذا التحقيق، قامت تويوتا على الفور بتعطيل بيانات الاعتماد المخترقة وتسريع التحسينات الأمنية للبوابة، بالإضافة إلى تعطيل البوابة مؤقتًا حتى اكتمال التحسينات”.
مزيد من الميزات الذكية، ومزيد من الأخطاء الغبية
يقول ستيفان سافاج، أستاذ علوم الكمبيوتر في جامعة كاليفورنيا في سان دييغو، والذي كان فريقه البحثي أول من اخترق توجيه ومكابح سيارة عبر الإنترنت في عام 2010، إن العدد الاستثنائي من نقاط الضعف في مواقع شركات صناعة السيارات التي تسمح بالتحكم عن بعد في المركبات هو نتيجة مباشرة لدفع الشركات لجذب المستهلكين – وخاصة الشباب منهم – من خلال الميزات التي تدعمها الهواتف الذكية. ويقول سافاج: “بمجرد ربط هذه الميزات الخاصة بالمستخدم بالهاتف، هذا الشيء المتصل بالسحابة، فإنك تخلق كل هذا السطح للهجوم الذي لم يكن عليك أن تقلق بشأنه من قبل”.
ومع ذلك، يقول إنه مندهش من انعدام الأمان في جميع أكواد الويب التي تدير هذه الميزات. ويقول: “من المخيب للآمال بعض الشيء أن يكون من السهل استغلالها كما كانت”.
يقول ريفيرا إنه لاحظ بنفسه خلال عمله في مجال الأمن السيبراني للسيارات أن شركات السيارات غالبًا ما تركز بشكل أكبر على الأجهزة “المضمنة” – المكونات الرقمية في بيئات الحوسبة غير التقليدية مثل السيارات – بدلاً من أمان الويب، ويرجع ذلك جزئيًا إلى أن تحديث هذه الأجهزة المضمنة قد يكون أكثر صعوبة ويؤدي إلى استدعاءات. يقول ريفيرا: “كان من الواضح منذ أن بدأت أن هناك فجوة صارخة بين الأمان المضمن وأمان الويب في صناعة السيارات. يختلط هذان الأمران معًا في كثير من الأحيان، لكن الناس لديهم خبرة في أحدهما فقط أو الآخر”.
ويأمل سافاج من جامعة كاليفورنيا في سان دييغو أن يساعد عمل الباحثين في مجال اختراق كيا في تحويل هذا التركيز. ويقول إن العديد من تجارب الاختراق المبكرة البارزة التي أثرت على الأنظمة المضمنة في السيارات، مثل الاستيلاء على جيب في عام 2015 واختراق إمبالا في عام 2010 الذي قام به فريق سافاج في جامعة كاليفورنيا في سان دييغو، أقنعت شركات صناعة السيارات بأنها بحاجة إلى إعطاء الأولوية بشكل أفضل للأمن السيبراني المدمج. والآن تحتاج شركات السيارات إلى التركيز على أمن الويب أيضًا – حتى لو كان ذلك يعني تقديم تضحيات أو تغييرات في عملياتها.
“كيف يمكنك أن تقرر، “”لن نقوم بشحن السيارة لمدة ستة أشهر لأننا لم نراجع التعليمات البرمجية على شبكة الإنترنت””؟ هذا أمر صعب،”” يقول. “”أود أن أعتقد أن هذا النوع من الأحداث يدفع الناس إلى النظر في هذا القرار بشكل أكثر شمولاً.”