נחשפה פרצת אבטחה ברכב חשמלי
צוות חוקרי סייבר מחברת פלקסידיטי־אקס (PlaxidityX) הצליח להשתלט מרחוק על רכב חשמלי חדש ימים ספורים בלבד לפני כניסתו לייצור סדרתי. החוקרים, שפעלו כחוקרי "כובע לבן", ביצעו את הפריצה במסגרת בדיקות אבטחה תקניות, וגילו ליקויים חמורים שאפשרו להם להשתלט על מערכות קריטיות בזמן שהרכב היה בתנועה.
התקיפה נחשפה בדוח חדש של החברה שנערך לפי תקן ISO-21434 העוסק באבטחת סייבר לכלי רכב. בתוך שמונה ימי עבודה בלבד הצליחו שני חוקרים לחדור למערכת הרכב דרך רשת אלחוטית בעזרת סיסמת ברירת מחדל חלשה שניתנת לפיצוח בקלות. משם הם הצליחו לאמת את עצמם, לתמרן בין המערכות הפנימיות ברכב ולהגיע לשער המרכזי (Gateway) של מערכות הרכב.
בשלב זה הם החליפו קובצי מערכת מקוריים בגרסאות מזויפות, וכך קיבלו גישה ל"אוטובוס הנתונים" (CAN Bus) - רשת התקשורת הפנימית של הרכב - שאפשרה להם לשלוט בפונקציות תפעוליות, כולל מערכות בטיחות. בשיטת הנדסה הפוכה של קובצי תוכנה פנימיים הצליחו החוקרים לשחזר סיסמאות מקודדות מראש לשרת MQTT מאובטח, המשמש לתקשורת בין הרכב לאפליקציית המשתמש. הגישה הזו אפשרה להם להפעיל את כל הפקודות שהאפליקציה הרשמית מבצעת, ללא מגבלות.
החוקרים אף חשפו כי מנגנון האימות בפרוטוקול UDS, המשמש לגישה למערכות האבחון, היה מיושם באופן חלש. הם הצליחו לעקוף את המנגנון ולהשיג גישה בלתי מוגבלת לאבחון ולשליטה מרחוק. כך הם השיגו שליטה מלאה במערכות הבטיחות של הרכב, עד כדי עצירה מוחלטת של פעולתו. השבתה זו חייבה את יצרן הרכב לבצע איפוס מלא של מערכת הסוללה כדי להשיב את המערכת לפעולה.
עומר זיו (Omer Ziv), אחד ממחברי המסמך, הסביר כי המקרה מדגיש את הקלות שבה אפשר לבצע מתקפות סייבר אפקטיביות בזמן קצר ואת הצורך הדחוף של יצרניות הרכב לשפר את מנגנוני האבטחה שלהן. "אנחנו רואים שהמעבר מכלי רכב שאינם מקוונים לכלים מבוססי תוכנה עדיין אינו מלווה בתודעת סייבר מספקת", אמר זיו. "נחוצות שכבות הגנה חזקות יותר, החל בתהליך האתחול המאובטח, דרך ניהול זהויות והרשאות וכלה בהגנה על רשת הרכב הפנימית."
המסמך של החברה מבקר גם את הגישה של יצרניות הרכב וספקי הרכיבים, שלעיתים מסתפקים בבדיקות אבטחה של יחידות בקרה (ECU) יחידה לצורך עמידה בדרישות הרגולטוריות, אך מתעלמים מבדיקת מערכת כוללת. "יש נקודות תורפה שמתגלות רק כשבוחנים את הרכב כמכלול," נכתב בדו"ח. החוקרים ממליצים לעבור לאבחון כולל של המערכות המחוברות, ולבצע בדיקות חדירה מקיפות ולא רק לצורכי תאימות רגולטורית.
