كشفت دراسة حديثة أجراها باحثون مستقلون أنهم تمكنوا من اختراق سيارات كيا الحديثة بسهولة بالغة، مشيرين إلى أنهم استغلوا ثغرة أمنية في بوابة ويب تابعة لشركة كيا، أتاحت لهم إعادة تعيين التحكم في مجموعة واسعة من المزايا المتصلة بالإنترنت في السيارة، مثل: فتح الأبواب وتشغيل المحرك، وذلك من بُعد باستخدام هواتفهم الذكية، حسبما نقلت قناة العربية.
موضوعات مقترحة
احذر الواجهة الخلفية لبوابة العملاء والتجار
وقال الباحثون إنهم اكتشفوا ثغرة بسيطة ولكنها خطيرة في البنية التحتية الرقمية لشركة كيا، وتكمن هذه الثغرة في الواجهة الخلفية لبوابة العملاء والتجار، وهي بمنزلة البوابة الرئيسية التي تتحكم في مزايا السيارات المتصلة بالإنترنت.
وأوضحوا أنهم عملوا على استغلال خلل بسيط في آلية التحقق من هوية المستخدم، مما مكنهم من الوصول إلى امتيازات وكيل كيا، مما أتاح لهم التحكم الكامل في أي سيارة كيا تقريبًا، ويكمن جوهر المشكلة في عدم وجود آلية فعالة للتحقق من صلاحيات المستخدم، مما سمح للمهاجمين بالتظاهر بأنهم وكلاء معتمدون.
وقد استغل الباحثون هذه الثغرة لتطوير تطبيق يسمح لهم بإرسال أوامر مباشرة إلى وحدة التحكم الإلكترونية في السيارات المستهدفة بمجرد إدخال رقم لوحتها فقط، وقد منحهم ذلك القدرة على التحكم في وظائف حيوية مثل: تتبع موقع السيارة، وفتح الأبواب، والتحكم في المحرك، بالإضافة إلى تغيير الإعدادات، إذ يمكنهم تغيير الإعدادات في واجهة الترفيه في السيارة، مثل مستوى الصوت أو درجة الحرارة.
وعلاوة على ذلك، سمحت الثغرة الأمنية للمهاجمين بجمع المعلومات الشخصية الخاصة بمالك السيارة المستهدفة، مثل: الاسم وعنوان المنزل، والبريد الإلكتروني ورقم الهاتف، بالإضافة إلى ذلك أتاحت لهم إنشاء مستخدم ثانٍ للسيارة، دون علم المالك.
وقد أبلغ الباحثون شركة كيا بهذه الثغرة في شهر يونيو 2024، وأقرت الشركة بالثغرة، وعملت على إصلاح لها نفذته في منتصف شهر أغسطس الماضي.
ومع ذلك، هذا الإصلاح لا يحل مشكلة خطيرة للغاية تتعلق بالأمان السيبراني في صناعة السيارات، إذ إن الثغرة التي استغلها الباحثون لاختراق السيارات، تُعدّ هي الثانية من نوعها التي تُكتشف في أنظمة كيا خلال عام واحد، مما يشير إلى وجود مشكلة هيكلية في بنية الأمن السيبراني للشركة.
علاوة على ذلك، يشير الباحثون إلى أن هذه الثغرات هي جزء من سلسلة واسعة من الثغرات المماثلة القائمة على الويب التي اكتشفوها خلال العامين الماضيين، والتي أثرت في السيارات التي تصنعها كبرى الشركات مثل: (أكيورا) Acura، و(جينيسيس) Genesis، و(هوندا) Honda، و(هيونداي) Hyundai، و(إنفينيتي) Infiniti، و(تويوتا) Toyota.
كيف يسيطر المهاجم على السيارة؟
قبل إبلاغ شركة كيا بالثغرة الأمنية، اختبر الباحثون تقنيتهم القائمة على الويب على مجموعة من سيارات كيا، بدءًا من سيارات الأصدقاء، والسيارات المستأجرة ووصولًا إلى السيارات المعروضة في صالات العرض. وقد أثبتت هذه التجارب نجاح التقنية في اختراق جميع السيارات التي جرى اختبارها، مما يؤكد خطورة الثغرة وتأثيرها الواسع.
لا تمنح تقنية اختراق سيارات كيا القائمة على الويب التي استخدمها الباحثون إمكانية السيطرة المباشرة على عناصر القيادة الحيوية مثل التوجيه والمكابح، ونظام (Immobilizer) للحماية من السرقة، ولكنها تتيح لهم الوصول إلى أنظمة أخرى بالسيارة، ويعني ذلك أنهم يمكنهم، نظريًا، استغلال هذه الثغرة بالاقتران مع تقنيات أخرى معروفة لدى اللصوص لتعطيل نظام الحماية من السرقة (Immobilizer)، أو سرقة السيارات التي لا تحتوي على هذا النظام.
وحتى في الحالات التي لا تسمح فيها هذه الثغرة بسرقة السيارة مباشرة، يمكن استغلالها لتنفيذ العديد من السيناريوهات الأخرى التي تهدد أمن وسلامة السائقين والركاب، مثل سرقة محتويات السيارة وتنفيذ أعمال تخريبية، فضلًا عن انتهاك الخصوصية من خلال الوصول إلى المعلومات الشخصية وتتبع الموقع.
أكد أحد الباحثين أن أي شخص يمكنه بسهولة مسح لوحة سيارتك، ثم باستخدامها يمكن تعقبك في أي وقت وتحديد مكانك بدقة. وأوضح أن أي شخص لديه لوحة سيارة كيا يمكن نظريًا تتبعه وتحديد مكانه.
وأضاف لا يتوقف الأمر عند هذا الحد، إذ إن سيارات كيا المزودة بكاميرات بزاوية قدرها 360 درجة، لم تكن بمنأى عن هذه الثغرة، مما يعني أن المتسللين يمكنهم نظريًا الوصول إلى لقطات فيديو من السيارة.
بالإضافة إلى ذلك، فقد سمحت هذه الثغرة للمتسللين بالوصول إلى قاعدة بيانات عملاء كيا، التي تشمل بيانات شخصية حساسة مثل: الاسم، والعنوان، والبريد الإلكتروني، ورقم الهاتف، وحتى سجلات القيادة، مما يمثل تهديدًا خطيرًا لأمن المستخدمين وسلامتهم.