ثغرة أمنية في نظام Subaru تكشف عن بيانات حساسة للسيارات
تاريخ النشر: 26th, January 2025 GMT
كشفت ثغرة أمنية خطيرة في نظام Starlink الخاص بشركة Subaru عن كمية هائلة من بيانات المركبات ومعلومات المستخدمين الحساسة، وعلى الرغم من إصلاح الثغرة سريعًا بعد اكتشافها، فإنها سلطت الضوء على مشكلات الخصوصية الواسعة التي تواجه المركبات المتصلة بالإنترنت.
الباحثان الأمنيان سام كاري وشوبهام شاه أبرزا تفاصيل الثغرة في تقرير نشرته Wired، موضحين كيف تمكنوا من اختراق بوابة ويب للموظفين واستغلالها للوصول إلى البيانات والسيطرة عن بُعد على المركبات.
اكتشف الباحثان الثغرة عندما نجحا في تجاوز إجراءات الأمان في بوابة الموظفين الخاصة بـ Subaru، تمكن الباحثان من إعادة تعيين كلمة مرور موظف في النظام باستخدام عنوان بريده الإلكتروني العام المتاح على LinkedIn، بعد ذلك، تجاوزا المصادقة الثنائية من خلال إزالة تراكب الأمان في واجهة المستخدم، مما سمح لهما بالدخول إلى النظام.
بيانات ضخمة وسهولة الوصول
من خلال الوصول إلى لوحة تحكم Starlink، تمكن الباحثان من استعراض وتتبع بيانات موقع السيارة بدقة تصل إلى 17 قدمًا، حيث كانت البيانات محدثة عند كل تشغيل للمحرك، كما تمكن الباحثان من:
- التحكم عن بُعد: تشغيل وإيقاف المحرك، وقفل وفتح الأبواب لأي مركبة متصلة.
- الوصول إلى بيانات شخصية: سجل موقع المالكين، جهات الاتصال في حالات الطوارئ، المستخدمين المصرح لهم، العنوان المنزلي، وأجزاء من بيانات بطاقات الائتمان.
- استرجاع تاريخ المركبات: قراءة سجل المكالمات مع خدمة الدعم، أرقام تعريف المركبات، وحتى بيانات المالكين السابقين.
تجربة عملية
لإثبات قدراتهم، اختبر الباحثان الثغرة على مركبة Subaru Impreza 2023 التي يمتلكها كاري. كما طلبا إذنًا من صديقة لإضافة نفسيهما كمستخدمين مصرح لهم على سيارتها، حيث تمكنا من تنفيذ العملية دون أي إشعار للمالكة أو تنبيه حول النشاط.
صرّحت Subaru بأن الثغرة الأمنية أُصلحت فور الإبلاغ عنها في نفس اليوم، مؤكدة أنه لم يتم استغلالها من قبل جهات غير أخلاقية. في بيان رسمي، قال مدير الاتصالات دومينيك إنفانتي: "تم الإبلاغ عن الثغرة من قِبل باحثين أمنيين مستقلين، وقمنا بإصلاحها بسرعة، لم يتم الوصول إلى أي بيانات عملاء أو مركبات دون إذن. الحالات التي أبلغ عنها الباحثون كانت بتصريح من الأشخاص المعنيين" .
كما شددت الشركة على أن بيانات الموقع لا تُباع، وأن القيادة عن بُعد ليست ممكنة عبر النظام.
مخاوف أوسع في صناعة السيارات
أشار الباحثان إلى أن مثل هذه الثغرات ليست مقتصرة على Subaru، أعمالهما السابقة كشفت عن مشكلات أمنية مشابهة لدى شركات مثل Acura ،Honda ،Toyota، وغيرها.
كتب كاري: "قطاع السيارات يعاني من أمان ضعيف يمنح الموظفين وصولاً غير مبرر لكمية هائلة من البيانات الشخصية، النظام يعتمد بشكل مفرط على الثقة، مما يجعل من الصعب تأمينه بالكامل".
تظهر هذه الحادثة كيف يمكن أن يؤدي ضعف التدابير الأمنية في الأنظمة المتصلة إلى مخاطر جسيمة على الخصوصية والأمان، وبينما تعمل الشركات على تحسين أنظمتها، تظل هذه القضية تذكيرًا بأهمية التصميم الآمن للأنظمة الرقمية في عالم يتزايد اعتماده على التكنولوجيا.
المصدر: بوابة الوفد
إقرأ أيضاً:
إحباط مخطط إرهابي ضد مواقع عسكرية حساسة
أعلن جهاز الأمن الداخلي في حكومة الوحدة الوطنية، “عن إحباط مخطط إرهابي كان يستهدف مواقع عسكرية وأمنية حساسة، بعد تفكيك تنظيم محظور قبل تنفيذ عملياته التخريبية”.
وقال الجهاز في بيان رسمي، إن “التنظيم كان يسعى لإنشاء مصنع للأسلحة اليدوية في مدينة الجميل، بالقرب من الحدود التونسية”.
وأضاف أن “اعترافات أحد أعضائه كشفت تواصله مع جزائريين لتعلم تصنيع الطائرات المسيّرة والقنابل اليدوية، بالإضافة إلى تلقي طلبات انضمام من خارج البلاد، كما لجأ التنظيم إلى توزيع منشورات داخل المساجد بهدف استقطاب الشباب، مستخدمًا اسما رمزيا زائفا وأساليب دعائية تحريضية لنشر الفكر المتطرف”.
ووفق التحقيقات، “بدأ التنظيم بالتواصل مع جهات خارجية للحصول على دعم لوجستي، شمل مواد متفجرة وطائرات مسيّرة لاستخدامها في عمليات استطلاعية، كما تم إعداد موقع سري لتصنيع الأسلحة، ما يعكس مستوى متقدما من التخطيط”.
وأكد جهاز الأمن، أنه “تمكن من إحباط المخطط قبل تنفيذه، حيث تم ضبط المتورطين وإحالتهم إلى الجهات القضائية المختصة، مشددًا على التزامه بمكافحة الإرهاب وحماية أمن الدولة واستقرارها”.
في عملية استباقية نوعية، تمكن أعضاء الجهاز من تفكيك تنظيمٍ إرهابيٍ محظور، كان يخطط لتنفيذ سلسلة من العمليات التخريبية،…
تم النشر بواسطة جهاز الأمن الداخلي في السبت، ٢٩ مارس ٢٠٢٥
محافظ بني سويف يؤدي صلاة عيد الفطر الميارك بساحة مسجد عمر بن عبدالعزيز