גנבי רכב חכם כבר לא נכנסים דרך החלון, אלא דרך השרת
חושבים פעמיים אם זכרתם לנעול את האוטו? אם יש לכם רכב חכם זה לא משנה, אפשר להשתלט עליו מכל נקודה בעולם
רכב חשמלי, תמונה: Pixabay
היום כבר לא צריך לפרוץ לרכב עם מברג או לשבור חלון כדי לגנוב אותו. מספיק API פתוח, הרשאה שניתנה בשוגג או אפליקציה עם חור קטן באבטחה, והשליטה ברכב עוברת לידיים הלא נכונות. כל זה קורה כמובן בלי שאף אחד אפילו ייגע בדלת.
דוח חדש של חברת הסייבר Upstream מתאר איך תוקפים מנצלים את השירותים הדיגיטליים שסביב הרכב כדי להיכנס בקלות. מתוך 409 תקריות שנסקרו בשנת 2024, 66% מההתקפות כוונו לממשקי API ולמערכות טלמטיקה; 92% מהן התרחשו מרחוק, ללא כל מגע פיזי, ובמחצית מהמקרים הן גם הובילו לשיבוש תפעולי רחב. מה זה אומר? שזה בכלל לא משנה אם זכרתם לנעול את האוטו והמפתח אצלכם בכיס, כי אם יפרצו לכם לרכב התוקף יוכל לעשות זאת מכל נקודה בעולם.
בשיחה שערכנו עם שירה שריד-האוסירר סמנכ"לית שיווק Upstream, היא מסבירה כי תקיפת הרכבים החכמים היא "ברמת קושי גבוהה במיוחד, ולכן אנחנו רואים מספרים נמוכים יותר מאשר תקיפות בעולמות ה-IT שבהם ההאקרים פעילים כבר שנים. בתעשיית הרכב אנחנו עדיין בשלבים התחלתיים ולמעשה רק ב-5-7 השנים האחרונות הרכבים ממש מחוברים למערכת. לכן, מספר התקיפות שלכאורה נמוך יחסית, מעיד על אימפקט ישיר או עקיף על מספר עצום של רכבים".
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
המערכת עובדת – עבור הצד הלא נכון
ממשקי API נולדו מתוך כוונה טובה – הם שם כדי לייעל, לחבר ולפתוח את הרכב לעולם החיצוני. הבעיה היא שמה שתוכנן להיות קיצור דרך למשתמש הפך גם למסלול עוקף הגנה לתוקף. במילים אחרות: תוקפים לא צריכים לפרוץ שום דבר, רק לדעת לנצל את מה שהמערכת מאפשרת. וזה שורש הבעיה: רוב הפרצות שנחשפו בדוח לא נבעו מקוד לקוי או חור באבטחה, אלא מהיעדר שיקול דעת בתכנון ההרשאות.
כלומר, לא מדובר באירוע שבו האקר חיפש סדק בקיר כדי להיכנס, אלא במצב שבו פשוט לא נעלו את הדלת, או גרוע מזה – שכחו מי מקבל את המפתח. והכי מטריד? כל זה חוקי, לגיטימי. לא הייתה כאן עקיפה של מנגנון, לא ניצול של באג, רק שימוש חכם מדי בפרוטוקול שנבנה להיות פתוח ונוח. כלומר, אין כאן "פריצה", יש מערכת שעובדת – עבור הצד הלא נכון.
עמדת הטענה או משטח תקיפה?
הדוח לא רק מתאר חולשות טכניות, אלא מצביע על שינוי עמוק בזירה עצמה. מספר התוקפים הפעילים בדארק ווב, כאלה שמתמקדים במערכות תחבורה, שילש את עצמו בתוך שנה אחת ועל מ-300 ל-1,133. לא מדובר עוד באיזה האקר בודד מול מסך שחור, אלא בקבוצות סדורות, עם תשתיות, כלים, שיטות עבודה ומטרה כלכלית ברורה. כאמור, הם לא מחפשים פרצה – הם משתמשים בכלים הרגילים, הפורמליים, המוכרים.
כך למשל במקרה אחד תוקף הצליח לרשום רכב על שמו דרך ממשק API ציבורי של סוכנות רכב. כל מה שנדרש ממנו היה להזין מספר רישוי, ומרגע שהמערכת זיהתה אותו כבעלים נפתחה בפניו הגישה המלאה לרכב החכם: הפעלת המזגן, איתור הרכב, פתיחת הדלתות – כל מה שבעלים חוקי מקבל, רק בחינם.
וזה לא נגמר שם. הדוח שם דגש על תשתית קריטית נוספת שהופכת לזירת תקיפה במהירות: עמדות טעינה לרכבים חשמליים. לפי הממצאים, בפרוטוקול התקשורת שמחבר בין התחנה לשרת (OCPP) התגלו לא פחות משש חולשות Zero-Day.ב-67% מהמתקפות, התוקפים הצליחו לשתק את התחנה או למשוך ממנה מידע רגיש והתקפות רבות כוונו לא לטעינה עצמה, אלא לניצול השירותים הדיגיטליים שמנהלים את התחנה, האלמנט שמחבר בין תחום התחבורה החכמה לעולמות ענן ו־API. כלומר, מערכת שאמורה להיות שקופה ונגישה הפכה לכלי תקיפה.
התקן לא עוצר את התוקפים
הממצאים של הדוח מעוררים דאגה, אך מה שבאמת מטריד הוא שכל זה קורה כשהיצרנים עצמם עומדים בדרישות – אף אחד לא מפר תקנות או מעגל פינות, ואין בעצם מה לתקן או לעשות אחרת באופן מיידי. היצרנים עומדים בתקן R155 של האו"ם, שנחשב לקו המנחה באבטחת רכב חכם, אך כפי שמבהיר הדוח התקן פשוט לא תואם לשטח ולסט הכלים שפורצים מחזיקים כיום; הוא לא מתייחס לעומק לספקים חיצוניים, לא מכסה תקשורת מבוזרת, ולא מדבר בכלל על תרחישים של גניבת זהות בתוך המערכת.
במילים אחרות, כל עוד המערכת מתוכננת לפי ספר שלא עודכן, התוקף הוא הקורא הראשון שיכול להבין איפה בדיוק הוא צריך להסתכל כדי להגיע ליעד.
