کابوس امنیتی خودروساز بزرگ؛ هکرها می‌توانستند در خودروها را از دور باز کنند

دیجیاتو دوشنبه 20 مرداد 1404 - 18:32
یک محقق به پورتال آنلاین یک خودروساز بزرگ نفوذ کرد و به اطلاعات خصوصی میلیون‌ها مشتری دست یافت. The post کابوس امنیتی خودروساز بزرگ؛ هکرها می‌توانستند در خودروها را از دور باز کنند appeared first on دیجیاتو.

یک محقق موفق شد با کشف دو حفره امنیتی ساده به پورتال آنلاین یک خودروساز بزرگ نفوذ کند و به اطلاعات خصوصی میلیون‌ها مشتری و قابلیت کنترل از راه دور خودروهای آنها دست یابد. این نفوذ که به عنوان یک «کابوس امنیتی» توصیف شده، به هکرها اجازه می‌داد تا در خودروها را باز کنند، آنها را به صورت زنده ردیابی و حتی هویت کارمندان نمایندگی‌ها را جعل کنند.

به گزارش تک‌کرانچ، محققی در حوزه امنیت به‌نام «ایتون زویر» (Eaton Zveare)، در یک پروژه شخصی تصمیم گرفت تا امنیت پورتال آنلاین نمایندگی‌های یک خودروساز بزرگ و ناشناس را بررسی کند. نتیجه کشف یک رشته از آسیب‌پذیری‌های فاجعه‌بار بود. او متوجه شد که کد مربوط به صفحه ورود به پورتال در مرورگر کاربر بارگذاری می‌شود. این شرایط به او اجازه داد تا با دستکاری این کد، سیستم امنیتی را دور بزند و برای خود یک حساب کاربری با بالاترین سطح دسترسی، یعنی National Admin ایجاد کند.

آسیب‌پذیری خطرناک در پورتال خودروساز بزرگ

این حساب کاربری درهای یک صندوق گنج عظیم از اطلاعات و قابلیت‌های خطرناک را به روی او باز کرد. او به تمام داده‌های بیش از هزار نمایندگی در سراسر آمریکا، از جمله اطلاعات مالی و لید‌های فروش آنها، دسترسی پیدا کرد. همچنین او با استفاده از یک ابزار جستجوی داخلی می‌توانست فقط با داشتن نام و نام خانوادگی یک مشتری یا شماره شناسایی خودرو (که به‌راحتی از روی شیشه جلوی خودرو قابل خواندن است) به تمام اطلاعات شخصی مالک و جزئیات خودروی او دسترسی پیدا کند.

بازکردن در خودروها از راه دور از طریق هک پورتال آنلاین شرکت خودروساز

خطرناک‌ترین بخش این نفوذ، قابلیت جفت‌کردن خودروها با یک حساب موبایل جدید بود. این کار به هکر اجازه می‌داد تا از طریق اپلیکیشن، کنترل برخی از عملکردهای خودرو، از جمله بازکردن قفل درها را به دست آورد. زویر این قابلیت را با رضایت یکی از دوستانش با موفقیت روی اتومبیل او آزمایش کرد. این پورتال همچنین امکان ردیابی زنده خودروهای اجاره‌ای یا درحال حمل‌ونقل را فراهم می‌کرد.

زویر می‌گوید: «اینکه می‌توانستم تنها با دانستن نام یک نفر، کنترل خودروی او را به دست بگیرم، کمی مرا ترساند.»

این آسیب‌پذیری حتی از این هم عمیق‌تر بود. به دلیل استفاده از سیستم «ورود یکپارچه» (Single Sign-On) زویر می‌توانست از طریق این پورتال به سایر سیستم‌های متصل نیز دسترسی پیدا کند. علاوه‌براین، یک قابلیت داخلی به او اجازه می‌داد تا هویت هر کارمند دیگری را در سیستم جعل کند و بدون نیاز به رمز عبور، از تمام اختیارات او بهره ببرد. زویر این ویژگی را یک «کابوس امنیتی در انتظار وقوع» توصیف می‌کند.

پس از گزارش این آسیب‌پذیری‌ها توسط زویر، این خودروساز (که نام آن فاش نشده اما به عنوان یک برند بزرگ با چندین زیرمجموعه محبوب توصیف شده) توانست در عرض یک هفته در فوریه ۲۰۲۵ این حفره‌های امنیتی را برطرف کند. آنها اعلام کردند که هیچ شواهدی مبنی بر سوءاستفاده از این آسیب‌پذیری‌ها پیش از گزارش زویر پیدا نکرده‌اند.

مشاهده متن کامل خبر در "دیجیاتو"
منبع خبر "دیجیاتو" است و موتور جستجوگر خبر تیترآنلاین در قبال محتوای آن هیچ مسئولیتی ندارد. (ادامه)
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت تیترآنلاین مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویری است، مسئولیت نقض حقوق تصریح شده مولفان از قبیل تکثیر، اجرا و توزیع و یا هرگونه محتوای خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

بیشتر بخوانید

 

تیتر اخبار - تیتر آخرین اخبار - آخرین اخبار روز - آخرین اخبار ایران - خبر - اخبار سیاسی - اخبار ورزشی - اخبار اقتصادی - اخبار فناوری - اخبار فرهنگی - اخبار هنری - اخبار پزشکی - اخبار حوادث - اخبار استانها

تمامی خبرها توسط نرم‌افزار جستجوگر خبر سایت گردآوری شده و سایت نگارآنلاین در قبال محتوای خبرها مسئولیتی ندارد
تمامی حقوق این سایت برای نگارآنلاین محفوظ است