EN
في خطوة جريئة تكشف عن ثغرة أمنية مهمة في إحدى خدمات صناعة السيارات، تمكن المخترق الأخلاقي «سام كاري» من اختراق نظام سوبارو للسيارات، وتحديدًا منصة "ستارلينك" الخاصة بالشركة.
بدأت القصة عندما قرر كاري أن يقوم بتجربة اختراق سيارة سوبارو إمبريزا 2023 التي اشتراها لوالدته، بشرط أن يسمح لها بمحاولة اختراقها.
التجربة الأولى: محاولة فاشلة مع تطبيق MySubaru
عندما عاد كاري إلى المنزل لقضاء عطلة عيد الشكر في نوفمبر من العام الماضي، طلب من والدته تسجيل الدخول إلى حسابها على تطبيق MySubaru.
حاول كاري اختراق التطبيق عدة مرات، لكنه لم يحقق أي نجاح يذكر. وبعد محاولات متعددة، قرر كاري أن التطبيق آمن بما فيه الكفاية ليعلن "فشل المحاولة" بشكل نهائي.
البحث المتواصل: اكتشاف الثغرة في منصة Starlink
ولم يستسلم كاري، فقد كانت لديه خبرة سابقة في مجال أمن المعلومات مع شركات صناعة السيارات، حيث كان يعلم أن هناك منصات خاصة قد تكون متاحة للعامة ولكنها تحتوي على أذونات أوسع من تلك التي توفرها التطبيقات الموجهة للعملاء.
وبمعاونة زميله شوبهام شاه، تمكن من اكتشاف المجال الفرعي المتاح للجمهور لواجهة إدارة Subaru Starlink.
جدير بالذكر أن خدمة ستارلينك في سوبارو لا تعتمد على الأقمار الصناعية كما يظن البعض، بل هي منصة ترفيهية وأمنية تعتمد على الإنترنت اللاسلكي، تهدف إلى توفير خدمات معلوماتية وأمان للسيارات من إنتاج سوبارو.
محاولة اختراق ناجحة: استغلال الثغرة في لوحة الإدارة
تمكن كاري وزميله شاه من تحديد نقطة نهاية JavaScript، وهي نقطة يمكنها إعادة تعيين كلمة مرور الموظف دون الحاجة إلى رمز تأكيد.
وباستخدام هذه الثغرة، كانا يحتاجان فقط إلى عنوان البريد الإلكتروني للموظف لاختبارها.
وبدءًا من هناك، قام كاري بالبحث عن موظفي سوبارو على LinkedIn، ثم باستخدام أسمائهم اكتشف تنسيق رسائل البريد الإلكتروني للشركة على النحو التالي: [first_initial][last]@subaru.com.
وبعد محاولات متعددة، عثر كاري على عنوان بريد إلكتروني صالح، ومن ثم قام بتسجيل الدخول إلى لوحة الإدارة باستخدام كلمة مرور جديدة.
ولإزالة العقبة الأخيرة، قام بتجاوز ميزة الأمان الصغيرة التي كانت تغطي واجهة المستخدم، ليحصل على الوصول الكامل.
وبمجرد أن دخل كاري إلى لوحة الإدارة، اكتشف أنه يمكنه تحديد موقع أي سيارة سوبارو في الولايات المتحدة الأمريكية وكندا واليابان.
علاوة على ذلك، تمكن من التحكم في وظائف السيارة مثل بدء/إيقاف المحرك، فتح وغلق الأبواب، والوصول إلى سجلات تتبع الموقع التي تعود لآخر 12 شهرًا.
إضافة إلى ذلك، تمكن من رؤية تفاصيل الفواتير وأسماء مالكي السيارات.
ولتأكيد قدرته على الوصول إلى أي سيارة سوبارو، قرر كاري التواصل مع صديقته وسألها إذا كانت مستعدة لإجراء اختبار آخر.
ووافقت الصديقة، وتمكن كاري من اختراق سيارتها باستخدام رقم لوحة الترخيص فقط، مما أتاح له فتح السيارة عن بعد.
وكان هذا الاختبار كافيًا لتأكيد أن الفجوة الأمنية قد تطال جميع السيارات التي تستخدم حسابات ستارلينك.
إصلاح الفجوة الأمنية: رد فعل سوبارو
وبعد أن اكتشف كاري الثغرة الأمنية، بادر بإبلاغ شركة سوبارو بها، التي قامت بسرعة بإصلاح الثغرة خلال أقل من 24 ساعة.
هذا التحرك السريع من الشركة يعكس اهتمامها بالسلامة وأمن المستخدمين، لكن الحادثة تكشف عن ضعف بعض المنصات التكنولوجية التي قد تعرض المستخدمين لمخاطر.
تجربة سام كاري تبرز بشكل واضح كيف يمكن أن تكون بعض المنصات عرضة للاختراق بسبب الثغرات الأمنية.
وعلى الرغم من أن هذه الحادثة تخص صناعة السيارات، فإنها تثير تساؤلات أوسع حول مدى أمان العديد من المنصات التكنولوجية التي يستخدمها الأمريكيون يوميًا، سواء كانت متعلقة بالخدمات المصرفية، شبكات التواصل الاجتماعي، أو حتى التطبيقات الموجهة للاستخدام الشخصي.
هذه الحادثة تعد بمثابة تذكير مهم حول أهمية الفحص الأمني المستمر وتحديثات البرمجيات من الشركات، لضمان حماية البيانات الشخصية والمالية للمستخدمين.
