پریسا عباسی– در طول سال ها، ما متوجه شدیم که تقریباً هر چیزی که به اینترنت متصل می شود، خواه از بلوتوث یا پروتکل بی سیم دیگر استفاده کند، یا هر دستگاهی که حتی یک تراشه کامپیوتری در داخل آن وجود دارد، می تواند هک شود و این شامل اتومبیل ها نیز می شود. همه آنها می توانند به طور بالقوه آسیب پذیر باشند و توسط هکرها مورد سوء استفاده قرار گیرند. با هر به روز رسانی نرم افزار امکان آسیب پذیری ها و هک های جدید وجود دارد. حتی اگر مشکلات قدیمی حل شود. (بنابراین، به طور جدی، همیشه نرم افزار خود را به روز نگه دارید زیرا این بهترین راه برای ایمن ماندن تا حد امکان است.)

با در نظر گرفتن این موضوع، محققان شرکت امنیتی فرانسوی Synacktiv موفق به برنده شدن 530000 دلار (حدود 25 میلیارد تومان) و یک تسلا مدل 3 در مسابقه Pwn2Own Vancouver شدند، رقابت امنیتی که در آن هکرهای کلاه سفید (هکرها یا کارشناسان امنیت کامپیوتر) و Security محققان می‌توانند با یافتن باگ‌های امنیتی و هک دستگاه‌هایی که در برابر نقض‌های امنیتی آسیب‌پذیر هستند، یک دستگاه و یک جایزه نقدی برنده شوند.

تیم Synacktiv توانست دو دستگاه مجزا را هک کند. در مرحله اول، آنها توانستند سیستم Gateway Model 3 را که رابط مدیریت انرژی بین خودروهای تسلا و پاوروال های تسلا است، در کمتر از دو دقیقه هک کنند. باتری تسلا پاوروال انرژی خورشیدی اضافی را در طول روز از پنل های خورشیدی ذخیره می کند. این انرژی بعداً در ساعاتی که هزینه استفاده از خطوط برق شهری بیشتر است قابل استفاده است). آنها از حمله زمان بررسی به زمان استفاده (TOCTOU) استفاده کردند. در این تکنیک از یک فاصله زمانی کوتاه استفاده کردند. فاصله زمانی بین زمانی که رایانه اعتبار کد امنیتی را تأیید می کند و زمانی که آنها می خواهند از آن برای وارد کردن کد مخرب مورد نیاز خود استفاده کنند و موفق به هک کردن آن شده اند. به دلایل ایمنی، آنها مدل 3 واقعی را هک نکردند، اما توانستند درهای جلو و کاپوت را حتی زمانی که ماشین در حرکت بود باز کنند.

نقض دوم به هکرها اجازه داد که خود را به عنوان مدیران سیستم معرفی می کردند، سیستم اطلاعات سرگرمی تسلا را از راه دور کنترل کنند و از آنجا دیگر زیرسیستم های خودرو را کنترل کنند. برای ورود به داخل، آنها از ضعف سرریز پشته و خطای خارج از محدوده در قطعه بلوتوث سوء استفاده کردند.

داستین چایلدز، رئیس اطلاعات تهدید در Trend Micro’s Zero Day Initiative (ZDI)، به DarkReading گفت: «مطمئناً بزرگترین آسیب پذیری که شناسایی شده، تسلا است. آنها توانسته‌اند از طریق چیزی شبیه به یک قطعه بلوتوث که در واقع یک قطعه خارجی است، به سیستم‌های اعماق داخل خودرو نفوذ کنند.

با توجه به تک‌کرانچ، تسلا ادعا می‌کند که تمام کاری که هکرها می‌توانستند انجام دهند آزار و اذیت راننده بوده است، اگرچه خود محققین چندان مطمئن نیستند. الوی بنویست واندربکن، محقق Synacktiv در گفتگو با TechCrunch گفت:[تسلا] گفت نه فرمان را بچرخانیم، نه گاز بگیریم و نه ترمز کنیم. اما از آنجایی که ما درک کاملی از معماری خودرو نداریم، مطمئن نیستم که این درست باشد و شواهدی برای اثبات آن نداریم.” آنها مدل 3 جدید را به دست می آورند.

این دومین سال متوالی است که Synacktiv با موفقیت تسلا را هک می کند. سال گذشته، تیم امنیتی فرانسوی موفق شد از طریق سیستم اطلاعات سرگرمی وارد شود، اما نتوانست به بقیه سیستم‌ها دسترسی کافی برای بردن خودرو داشته باشد.

البته شایان ذکر است که تسلا یکی از شرکت کنندگانی بود که خودرو را به صورت داوطلبانه در اختیار Pwn2Own قرار داد. تسلا – همراه با سایر شرکت‌های حاضر – این رقابت را فرصتی برای یافتن آسیب‌پذیری‌های بالقوه ویرانگر روز صفر دانست.حمله روز صفر یا حمله روز صفر (به انگلیسی یک حمله روز صفر ) حمله یا تهدید رایانه ای آسیب پذیری است در یک برنامه کاربردی که قبلا ناشناخته بود این بدان معنی است که توسعه دهندگان صفر روز فرصت داشتند تا آسیب پذیری را برطرف کنند) تا بتوانند حفره های امنیتی خود تخریب شونده را پیدا کرده و برطرف کنند. ظاهرا، این شرکت در حال حاضر روی آخرین حفره امنیتی کشف شده در تسلا کار می کند.

علاوه بر تسلا، شرکت‌های بزرگ دیگری مانند اوراکل، مایکروسافت، گوگل، زوم و ادوبی با بهره‌برداری از دو نقص امنیتی در شیرپوینت مایکروسافت، ۱۰۰۰۰۰ دلار از Star Lab در Pwn2Own بهره‌برداری کردند: آزمایشگاه های تحقیقاتی دانش و فناوری پیشرفته) و دو باگ امنیتی در تیم های مایکروسافت می تواند 75 هزار دلار برای تیم Viettel به ارمغان بیاورد. Synacktiv همچنین 80000 دلار دیگر برای یافتن سه حفره امنیتی در جعبه مجازی Oracle دریافت کرد.

منبع: popsci

5858