חקירה בעקבות פרצת אבטחה המשתלטת על יותר ממיליון מכוניות פיאט

הצדדים הרעים של מגמת האינטרנט של הדברים מתחילים לצוץ: פיאט קרייזלר (Fiat Chrysler) הודיעה שלשום (ו') על קריאה לתיקון (ריקול) ל-1.4 מיליון מכוניות שמותקן בהן מכשיר רדיו ספציפי.

זאת, בעקבות דיווח מהשבוע שעבר, לפיו חוקרי אבטחת מידע השתלטו מרחוק על מחשבי המכונית. בעקבות ההודעה על הריקול, נפתחה אתמול חקירה בנושא.

הריקול נוגע למכוניות מדגמי דודג' (Dodge), ג'יפ (Jeep), ראם (RAM) וקרייזלר (Chrysler) שיוצרו השנה. הרשות הלאומית לבטיחות בדרכים פתחה בחקירת הנושא.

לפני ימים אחדים, כך דווח, שני מקצועני אבטחת מידע הצליחו להשתלט מרחוק על מערכת הבידור Uconnect של ג'יפ מדגם צי'רוקי של החברה, והסיעו אותו בכביש ראשי. ההשתלטות מרחוק כללה יכולת שליטה בהגה, בבלמים, ובמנוע, וכל זאת באמצעות אותה מערכת בידור. הפריצה נעשתה באופן מבוקר, וצפה בה כתב של המגזין Wired – שגם חשף את דבר קיומה.

מפיאט-קרייזלר נמסר כי החברה משתפת פעולה בצורה מלאה עם גורמי החקירה וכי כלי הרכב שלה הולמים את דרישות הבטיחות הפדרליות. כלי הרכב שנקראו לתיקון הם כאלה שיש בהם מכשירי רדיו עם מסך מגע. בעלי כלי הרכב יקבלו התקן USB שיתקין עדכון לתוכנת ההפעלה של המכשיר, עדכון האורך פחות משעה. בהודעה אחרת פיאט קרייזלר ציינה כי היא חסמה אפשרות להשתלט מרחוק על מכוניות מסוימות מתוצרתה, בשל עדכון שאותו ביצעה. הדובר סירב למסור כל פרטים בנוגע לעדכונים שנעשו במערכת Uconnect. בעיתונות הטכנולוגית בארצות הברית ציינו כי פרצת האבטחה ידועה לחברה מאז תחילת 2014.

איך בוצעה הפריצה?

מה שהופך את מערכת הבידור של קרייזלר לשונה ממה שמותקן ברוב כלי הרכב, הוא ברמת האינטגרציה של המערכת. בנוסף לאספקת חיבורים לרכיבים כגון Bluetooth לשיחות טלפון, וחיבור לטלפון או לטאבלט לטובת מוסיקה, המערכת יכולה להתחבר למחשבים הפנימיים של המכונית, וכך ניתן להשתלט על רשת המחשוב הפנימית שלה.

כך, פריצה למערכת הבידור הופכת לאפשרית, משום שלרשת של המכונית יש קישור לעולם החיצוני, עם רשת אינטרנט סלולרית של ספרינט (Sprint). על מנת שההאקרים ישיגו גישה, כל שהם צריכים לעשות הוא לנווט ברשת ספרינט, ולאחר מכן לקבל גישה לרשת המשולבת בתוך המכונית. כך, הם יכולים להשתלט על מחשבי המכונית ולתת פקודות לפונקציות שונות.

גם בישראל

יצוין כי במסגרת כנס CyberSecurity 2014, שהופק על ידי אנשים ומחשבים, הצליח דוד שטרנברג להשתלט על מערכות מכונית, בלי לגעת בה פיזית.

שטרנברג, חוקר סייבר, השתלט מרחוק על מכונית מסוג מוסטאנג (Mustang), ככל הנראה באמצעות פריצה למערכות לווייניות המקושרות למכונית. הוא הסביר שיש שתי דרכים נוספות לעשות זאת, שתיהן פיזיות. לדבריו, תעשיית הרכב הכניסה מערכות מיחשוב למכוניות כבר לפני קרוב ל-20 שנה, אולם לא פיתחה להן במקביל מערכות הגנה ואבטחת מידע. כך, נוצר מצב בו ניתן להשתלט על המערכות לפתיחת הדלתות, החלונות, ועוד. שטרנברג ציין כי לפני שהחל להשתלט על מכוניות, הוא עצמו חקר את הנושא במשך כמה חודשים, כאשר לאחר מכן נדרש לו יום-יום וחצי על מנת לחדור ולהשתלט על מכוניות מסוגים אחרים.