אסף הראל, המדען הראשי וממייסדי חברת קרמבה

פגיעויות אבטחה ברכבי BMW: פרוטוקולי תקשורת פרוצים וחשופים לפגיעה של האקרים

חוקרי אבטחת מידע ב – Keen Security, חברת המחקר של חברת הטכנולוגיה הסינית Tensent איתרו 14 פגיעויות קריטיות במערכות ה- ECU Electronic Control Unit, ה- Head Unit ו- Telematics Control Unit במספר דגמים של יצרנית הרכב BMW. המחקר שהחל בינואר17 בחן מגוון מערכות המשפיעות באופן קריטי על תפקוד ובטיחות הרכב והוא מספק הוכחה נוספת לחשיבות שבהגנה על רכבים אוטונומיים.

 

מדובר במחקר שמסקרן מאוד את תעשיית הרכב שכן מידע רב וחשוב בו נאסר בשלב זה לפרסום כדי להימנע מניצול זדוני של הפגיעויות שבשלב זה טרם טופלו. הממצאים המלאים יפורסמו רק בתחילת שנת 2019.

אסף הראל, המדען הראשי וממייסדי חברת קרמבה סקיורטי הפועלת בתחום הגנת הסייבר לרכבים ומניעת גישה זדונית למערכות החכמות ברכבים אלה מסביר: "הפרצות שזוהו מאפשרות לתוקף שליטה מרחוק על מערכת התפעול של הרכב, יחידת הבקרה האלקטרונית (ECU) ומשם ביכולתו לפעול ככל רצונו ולהשתלט על צי רכבים שלם.

 

"תפיסת ההגנה ואבטחת המידע המיישמת פתרונות המשלבים עדכונים לזיהוי חדירות של גורמים עוינים, מיושנת ולא יעילה במה שקשור בהגנה על רצף פעילות של כלי רכב בזמן נסיעה.

 

"בזמן אמת לא ניתן לסמוך על מערכות שכאלה שכן הגנה על חלק אחד במערכת הרכב החכם לא תבטיח את אותה הגנה על חלק אחר בו. זו בדיוק הסיבה שאנחנו ממוקדים בהגנה על הגדרות היצרן המאוד מסוימות של כל אחד מדגמי הרכב ובכך מספקים הגנה היקפית מלאה שמסתכלת על הרכב עצמו ולא רק על מערכת מסוימת בו.

"מסקנה נוספת, מאוד ברורה וחדה שעולה מהמידע שסופק בשלב הזה מדגישה בדיוק את הטענה שלנו כי אין באמת דרך לבצע הגנה טובה על ה- Gateway שכן מידע חייב לעבור הלוך וחזור בין המערכות ברכב. השימוש בפתרונות "תיווך"\צד ג' חושף את המערכות לפגיעויות שלמות נוספות.

 

"הממשקים של מערכת הרכב למול ממשקים חיצוניים כמו טעינת סוללה, שירותי אבחון ובדיקה, חניה עצמית וכו' מחייבים מגוון רחב של ערוצי תקשורת. הגנה על כל אחד מהם תפגע ותעמיס בהכרח על ביצועי הרכב.

 

"בטכנולוגיה החדשנית שלנו ההגנה האוטונומית מתאימה עצמה להגדרות הברורות של הרכב ושל הממשקים הטכנולוגיים שבו, ללא פגיעה בביצועים, מאחר ומדובר בשליטה על ערוץ ראשי אחד, שכולל את ההגדרות הבסיסיות עצמן כך שהרכב נשמר בטוח ללא השפעה חיצונית עוינת".

https://www.securityweek.com/chinese-researchers-find-vulnerabilities-bmw-cars

דילוג לתוכן