إصلاحات جنرال موتورز ، وتعديلات على اختراق OnStar RemoteLink

يتبع OnStar من جنرال موتورز كرايسلر UConnect باعتباره ثبت خدمة تكنولوجيا المعلومات القابلة للاختراق. في حالة جنرال موتورز ، تضمن الاختراق إنشاء محاكاة ساخرة لتطبيق الهاتف الذكي OnStar RemoteLink وإصدار أوامر للسيارة مثل فتح الأبواب عن بُعد. لم يتضمن أي منها اختراقًا لوظائف التوجيه أو الكبح للسيارة التي كانت قيد التنفيذ. أصدرت جنرال موتورز إصلاحًا سريعًا لخوادم OnStar الخاصة بها ، وأعلنت أن المشكلة قد تم حلها ، ثم تعلمت أن أجهزة iOS لا تزال عرضة للخطر.

قامت جنرال موتورز بتصحيح تطبيق OnStar في نهاية الأسبوع الماضي وقالت إن المستخدمين سيحتاجون إلى تنزيل إصدار جديد عبر متجر تطبيقات Apple. يتيح تطبيق RemoteLink للمستخدم قفل سيارته وفتح قفلها عن بُعد وتشغيل المحرك وتفجير البوق وإظهار موقعه.



نشر الضعف ، ثابت في أيام

OnStar زر الشعارأظهر الباحث الأمني ​​سامي كامكار الأسبوع الماضي كيف ابتكر جهازًا بقيمة 100 دولار مرر على أنه نقطة اتصال WiFi آمنة. إذا أطلق المالك تطبيق RemoteLink الخاص به في نطاق صندوق Kamkar - المسمى 'OwnStar' والذي يحتوي على كمبيوتر Raspberry Pi وثلاثة أجهزة راديو صغيرة - فقد يتصل الهاتف بـ OwnStar والشوكة عبر بيانات اعتماد المستخدم. بالنسبة الى سلكي، الذي عمل مع Kamkar ، يستخدم RemoteLink تشفير SSL (جيد) لكنه لم يتحقق من أنه كان يتحدث مع خادم OnStar أصلي (سيء).



قال كامكار إنه تحدث مع جنرال موتورز الأربعاء الماضي (29 يوليو) وفي غضون يوم واحد نشرت Wired القصة ، أصدرت جنرال موتورز تصحيحًا أوليًا ، وقال كامكار إنه رجل جيد يحاول الإشارة إلى نقاط ضعف السيارة / الإنترنت المتصلة بالأشياء ، وأصدرت جنرال موتورز ' نحن نأخذ أمن عملائنا على محمل الجد '. وقال أيضًا إن المشكلة تم حلها عن طريق تصحيح الخادم. قال كامكار إن جنرال موتورز أصلحت مشكلة هاتف Android مع تصحيح لبرنامج الخادم ولكن ليس iOS ، وافقت جنرال موتورز ، وقامت بتحديث تطبيق RemoteLink لأجهزة Apple. أوقفت جنرال موتورز الوصول إلى iOS RemoteLink ، مما تطلب من المستخدمين تنزيل إصدار جديد لمواصلة استخدامه.

ONSTAR_UTILITY_GRID



ما يمكن أن تخسره بسبب اختراق RemoteLink

يعد RemoteLink في الغالب تطبيقًا ملائمًا للسائقين الذين لا يستطيعون تذكر ما إذا كانوا قد أغلقوا السيارة عند دخولهم المركز التجاري. هناك العديد من الضمانات المعمول بها بالفعل. تتضمن خدمات RemoteLink العديد من الخدمات الموجودة في قاعدة المفتاح الخاصة بالمالك ، ولكنها تعمل الآن من أي مكان ، وليس فقط في نطاق 50-100 ياردة. يتضمن الوصول RemoteLink:

  • قفل عن بعد ، فتح عن بعد. مفيد بشكل خاص إذا أغلقت مفاتيحك داخل السيارة وأيضًا مفيد إذا كانت سيارتك في ركوب التتابع برنامج مشاركة السيارة من نظير إلى نظير. يقوم المالك بقفل المفاتيح داخل السيارة والمستأجر ، باستخدام تطبيق Relay Rides منفصل (أتساءل عما إذا كان Kamkar قد تحقق من ذلك؟) ثم يقوم بإلغاء قفل السيارة.
  • البدء عن بعد ، إلغاء البدء. تبدأ السيارة عن بعد وتسخن أو تبرد نفسها إلى أدوات التحكم في درجة الحرارة المحددة مسبقًا. لا يمكن قيادة السيارة بعيدًا بدون وجود مفتاح التشغيل. ولا يمكن أن يظل الجهاز خاملاً دون مراقبة لأكثر من 10 دقائق لتجنب إهدار الطاقة.
  • حدد موقع السيارة. شاهد السيارة على الخريطة ، قم بالتكبير لرؤية موقعها بالضبط.
  • بوق بوق ، ومصابيح فلاش.
  • EV ، شحن هجين. اطلع على حالة الشحن ، حدد وقتًا لبدء الشحن أو حدد وقتًا عند اكتمال الشحن. قم أيضًا بتدفئة السيارة مسبقًا أو تبريدها مسبقًا باستخدام الكهرباء المنزلية بدلاً من البطاريات أو المحرك.
  • معلومات حساب مستخدم OnStar بما في ذلك نوع السيارة واسمها ومعلومات المالك ومعلومات بطاقة الائتمان الجزئية (الأرقام الأربعة الأخيرة ، تاريخ انتهاء الصلاحية).

ما يمكن أن تخسره بسبب اختراق RemoteLink

بناءً على عيوب RemoteLink ، فإن أسوأ ما يمكن أن يحدث هو أن اللص قد يفرغ سيارتك من الأشياء الثمينة. على الرغم من أن شخصًا ما ذكيًا بما يكفي لإلغاء قفل سيارتك عن بُعد ربما يكون قادرًا على السعي وراء أهداف أكبر من حقيبة الكمبيوتر المحمول وأكياس ماكدونالدز القديمة على أرضية المقعد الخلفي.

سيقوم Kamkar بتفصيل اختراق OwnStar هذا الأسبوع في ديفكون مؤتمر في لاس فيغاس. نأمل أن تجعل مآثره صناعة السيارات تفكر فيما تحتاج إلى القيام به. يحب المالكون راحة التحكم عن بعد في جوانب السلامة في السيارة ، على سبيل المثال التحقق مرتين من أنك أغلقت السيارة عندما سجلت الوصول إلى فندقك وتركت السيارة في موقف للسيارات خارج نطاق زر قفل المفتاح الخاص بك. يرغب مالكو السيارات الكهربائية في معرفة ما إذا كانت Volt أو Prius الخاصة بهم مشحونة بالكامل وأيضًا ما إذا كانوا قد قاموا بالفعل بتوصيل السيارة عند اندفاعهم إلى المنزل.



يمكن للتطبيقات البعيدة للمالكين الأكثر تطورًا العثور على أماكن وقوف السيارات والتفاوض على الأسعار. يمكنهم إخبارك بتاريخ انتهاء صلاحية عقد الإيجار. يمكن لشركات صناعة السيارات إرسال إشعار بعمليات الاستدعاء وتفجير كوبونات الخصم.

ما هو واضح من اختراق Chrysler (الذي أدى إلى 1.4 مليون استدعاء) والآن اختراق GM RemoteLink هو أن شركات صناعة السيارات يجب أن تفكر بشكل أكثر جدية في أمان الاتصال عن بُعد. يبدو الأمر كما لو أن مشكلة أمان جنرال موتورز لم تكن تفكر في بعض الطرق الواضحة التي يمكن بها استغلال السيارة. نفس الأشخاص الذين لم يربطوا عن قصد بأجهزتهم اللوحية في مقهى في وسط المدينة بنقطة وصول تسمى Free_WiFi لم يفكروا في ذلك عندما يتعلق الأمر بالسيارات التي يتحملون مسؤوليتها عن بنائها.

كان هذا إصلاحًا سهلاً نسبيًا ، على الأقل من جانب Android ، ومشكلة بسيطة من جانب Apple. كما يشير أيضًا إلى أن صانعي السيارات بحاجة إلى تطوير البرامج والتحديثات الأمنية عبر الهواء - بمجرد أن يشعروا بالراحة ، يصبح رابط OTA آمنًا. عندما واجهت Ford مشاكل مع Ford Sync ، كان ملف احتمالات مزامنة التصحيح أ) أرسل إلى المالك مفتاح USB مع الإصلاح أو ب) اجعل العميل يقضي 90 دقيقة ممتعة في الوكالة. بالمقارنة ، ترسل Tesla تحديثاتها عبر الهواء. تساعد تسلا عقلية المشترين البارعين في مجال التكنولوجيا ، والذين يتوقعون تحديثات عبر الهواء. قد لا يزال أصحاب العلامات التجارية الأخرى يخشون التكنولوجيا. كرايسلر ، جنرال موتورز ، والمتسللين التاليين لن يطمئنهم.

Copyright © كل الحقوق محفوظة | 2007es.com