האם ההאקרים ירסקו את המכונית החכמה?

ההאקרים שבלמו בשבוע שעבר ג'יפ של צ'ירוקי במהלך נסיעה, חשפו שהרשתות האלחוטיות הן חולייה חלשה בכלי הרכב מתקדמים, והבהירו באופן שאינו משתמע לשני פנים את הצורך הבהול למצוא דרכים לחסום חדירות אלחוטיות עוינות.

תכונות אשר רוכשי כלי הרכב המודרניים מצפים למצוא בהם כיום, כמו למשל הוראות נסיעה או מדריכי מסעדות, מסתמכות על תקשורת מתמשכת ברשת אלחוטית. אלא שתקשורת כזאת חושפת את כלי הרכב לסכנות אבטחה.

"הסיפור של הג'יפ הוא דוגמה מעולה לכך שלא מדובר ברכב עצמו, אלא ברשת", אומר ת'ילו קוסלובסקי, אנליסט טכנולוגיית רכב בחברת המחקר גרטנר. "ברגע שהמערכות האלה מתחברות החוצה ומתחילות לשוחח ביניהן - אז מתחילות הבעיות".

הפריצה חייבה את תאגיד הרכב פיאט קרייזלר להוציא קריאת טיפול ל-1.4 מיליון כלי רכב ולפנות אל חברת ספרינט בבקשה שתוציא תיקון זמני לרשת שלה. במסגרת הדגמת הפריצה המבוקרת, שני מומחי אבטחה התחברו באמצעות הרשת של ספרינט למערכת המידע והבידור של הג'יפ, מסוג Uconnect, השתלטו על פונקציות בסיסיות ובלמו את הרכב ממרחק כמה קילומטרים. כעת מתעתד הצמד לחזור על ההדגמה בכנס ההאקרים Black Hat USA 2015, שייפתח בשבת.

בניגוד להדגמות האקינג קודמות, שכללו חיבור כבל ישיר ליציאות הדיאגנוסטיקה של כלי הרכב, הפריצה האלחוטית של צ'רלי מילר וכריס ולאסק, שבוצעה עבור המגזין "ויירד", לא חייבה גישה פיזית אל הג'יפ.

מילר וולאסק העבירו לקרייזלר את פרטי נקודות התורפה שניצלו כדי לאפשר למהנדסי החברה לטפל בהן. ביום רביעי הקרוב, כאשר ידונו השניים בפריצה לרכב במסגרת הכנס בלאס וגאס, מומחי אבטחה יבחנו את תגליותיהם ואילו חברות הרכב והטלקום יקבלו הצצה אל עתיד שעלול להתגלות כבלתי נעים בעליל.

בעקבות הפריצה המקורית הוציאה ספרינט תיקון ברמת הרשת שתכליתו לחסום את ההתקפה המסוימת ששימשה את הצמד. עם זאת, החוקרים ציינו שעדיין יוכלו לחדור אל הג'יפ בדרכים אחרות, שעשויות לאפשר התקפות אחרות. פיאט קרייזלר מסרה כי למיטב ידיעתה טרם התקיימו הלכה למעשה פריצות אלחוטיות בלתי מורשות כלשהן לכלי רכב מתוצרתה.

ג'נרל מוטורס מפעילה צוות העוסק באבטחת סייבר ומעסיקה את חברת אקסליס של תאגיד האריס, כמו גם חברות אחרות, כדי לפתח מערכות נגד פריצה; זאת, לדבריו של מארק רויס, סגן נשיא בכיר לענייני פיתוח מוצר גלובלי בג'נרל מוטורס, אשר הוסיף כי החברה עובדת על סוגיות של אבטחת מערכות גם עם הצבא האמריקני ועם חברת בואינג.

"העניין היה קשור לתוכנה בכלי רכב מסוימים, שהותקן בהם מסך מגע של 8.4 אינץ', ולא לספרינט, שסיפקה קישוריות למסכי המגע", אמרה דוברת ספרינט, סטפני וינג'י וולש, "לבקשתה של יצרנית הרכב, סייענו לפתח וליישם אמצעי ברמת הרשת המונע גישה מרוחקת בלתי מאושרת לתוכנה במסכי המגע".

בניגוד לספקיות אינטרנט, המוגבלות ביכולתן הטכנית לבצע שינויים במחשבי המשתמשים לשם חסימה של איומי אבטחה, מפעילות אלחוטיות שולטות במידה רבה במתרחש בהתקנים המחוברים לרשתותיהן. הכלים המאפשרים הוספה או הסרה של תוכנה, חסימת פורטים או תוכנות מסוימות מוטמעים אינטגרלית ברשתות המובייל ובהתקנים המשתמשים בהן.

תיאום הדוק

אי לכך, למכוניות חכמות יש הרבה מן המשותף עם טלפונים ניידים, המחייבים תיאום הדוק בין יצרניות החומרה והתוכנה לבין המפעילות האלחוטיות כדי לוודא כי ההתקנים פועלים כהלכה. גוגל ואפל הטמיעו בתוכנות המובייל שלהן "מתגי חירום" המאפשרים לחברות להסיר תוכנות זדוניות או בלתי מורשות מן המכשירים גופם - כלי הנמצא בשימוש נדיר מאוד, ואינו מוכר במיוחד בציבור הרחב.

התקנה של מתג כזה במכוניות עלולה להיות בעייתית יותר, שכן הפעלתו עלולה לגרום לתאונה או להשבתה של כלי הרכב.

ועם זאת, מסביר האנליסט קוסלובסקי, חברות רכב וטלקום חייבות לוודא כי ניתן יהיה להוציא עדכוני אבטחה בלא דיחוי. "תעשיית הרכב תעמוד בפני סכנה משמעותית אם לא תטמיע מנגנון שיוכל לבצע את זה באופן אלחוטי", אמר.

בכיר בחברת וריזון מספר כי החברה נדרשה לפתח טכנולוגיות לניתוח סוגים שונים של תנועה אלחוטית כדי לסייע במניעה של ניסיונות פריצה לתוכנות הרכב. עם לקוחותיה של וריזון בתעשיית הרכב נמנות טויוטה, יונדאי ופולקסוואגן.

"עבדנו עם הלקוחות שלנו על הנושא - כל הגורמים בתעשייה ערים מאוד לסוגיות של אבטחה", אמר מארק ברטולומיאו, גורם בעל מוניטין בתחום "האינטרנט של הדברים" בווריזון. "נדמה שמדובר בסוגיה שהטיפול בה נמצא בקדימות עליונה, עם פוטנציאל של נזק כביר למותג".

 איך האקרים יכולים לחבל במכוניות