تسلا مدل ۳ و سایبرتراک در معرض هک؛ هشدار جدی به خودروهای هوشمند

پژوهشگران امنیت سایبری اعلام کرده‌اند که دو مدل پرطرفدار شرکت تسلا یعنی تسلا مدل ۳ و سایبرتراک در برابر نوعی حمله مبتنی بر دسترسی فیزیکی آسیب‌پذیر هستند؛ آسیبی که می‌تواند این خودروها را به «رایانه‌های چرخ‌دار» قابل دستکاری تبدیل کند.

به گزارش نیوزلن و به نقل از Digitaltrends، این یافته‌ها بار دیگر نگرانی‌ها درباره پیچیدگی فزاینده خودروهای متصل و ریسک‌های نهفته در سامانه‌های نرم‌افزاری آن‌ها را پررنگ کرده است؛ ریسک‌هایی که بسیاری از رانندگان از وجود آن‌ها آگاه نیستند.
 
اثبات دسترسی عمیق به نرم‌افزار داخلی خودرو
تیمی از پژوهشگران دانشگاه نورث‌ایسترن نشان داده‌اند که با سوءاستفاده از برخی ضعف‌های موجود در معماری شبکه داخلی خودروهای تسلا، می‌توان به سامانه‌های کلیدی در محیط عملیاتی این خودروها دسترسی پیدا کرد و آن‌ها را دستکاری کرد.

برخلاف سناریوهای سینمایی که بر «هک از راه دور» تمرکز دارند، این تیم پژوهشی سناریویی واقع‌بینانه‌تر را بررسی کرده است: حالتی که مهاجم برای مدت کوتاهی به خودرو دسترسی فیزیکی دارد. به گفته محققان، چنین شرایطی در موقعیت‌هایی مانند پارک خودرو، انجام سرویس‌های دوره‌ای یا استفاده از خودروهای اجاره‌ای کاملاً محتمل است.

بر اساس نتایج این پژوهش، اتصال یک دستگاه آلوده به شبکه داخلی خودرو می‌تواند مسیر دسترسی به زیرسامانه‌هایی نظیر فرمان، سامانه ترمز، منطق شتاب‌گیری و حتی برخی قابلیت‌های کمک‌راننده را هموار کند. پژوهشگران با مهندسی معکوس پروتکل‌ها و مسیرهای ارتباطی داخلی، حملات «اثبات مفهوم» طراحی کردند که قادر است رفتار خودرو را به‌گونه‌ای تغییر دهد که راننده در نگاه اول متوجه آن نشود.
 
چرا این یافته‌ها اهمیت دارد؟
خودروهای مدرن امروزی به شبکه‌ای پیچیده از میکروکنترلرها، حسگرها و لایه‌های نرم‌افزاری متکی هستند. در برخی موارد، حجم کدهای به‌کاررفته در این خودروها از ۱۰۰ میلیون خط کد نیز فراتر می‌رود. این سطح از پیچیدگی، به‌طور طبیعی سطح حمله بالقوه را افزایش می‌دهد.

یافته‌های اخیر نشان می‌دهد خودروهای برقی و هوشمند بیش از هر زمان دیگری به رایانه‌های متحرک شباهت دارند. در چنین شرایطی، رویکردهای سنتی ایمنی خودرو که عمدتاً بر ایمنی فیزیکی متمرکز بوده‌اند، دیگر پاسخگوی تهدیدهای ناشی از آسیب‌پذیری‌های نرم‌افزاری نیستند.

به گفته این تیم تحقیقاتی، اجرای چنین حملاتی الزاماً نیازمند منابع یک دولت یا مهارت‌های بسیار پیشرفته نیست. حتی فردی با دانش فنی پایه و دسترسی فیزیکی کوتاه‌مدت می‌تواند با تزریق یک دستگاه مخرب به گذرگاه ارتباطی CAN خودرو، در تبادل داده‌های داخلی اختلال ایجاد کند.

البته پژوهشگران تأکید می‌کنند که این حملات از نوع «تصاحب کامل از راه دور» نیستند، اما نشان می‌دهند که لایه‌های حفاظتی داخلی خودروها هنوز به‌اندازه کافی مقاوم نیستند تا در برابر اجرای کد مخرب پس از دسترسی فیزیکی، ایستادگی کامل داشته باشند.
 
پیامدها برای رانندگان و صنعت خودروسازی
این پژوهش برای رانندگان یادآور آن است که خودروهای مدرن را باید همچون دستگاه‌های دیجیتال در نظر گرفت؛ تجهیزاتی که علاوه بر مزایا، ریسک‌های امنیت سایبری خاص خود را نیز دارند. قابلیت‌هایی مانند ورود بدون کلید، به‌روزرسانی‌های بی‌سیم و شبکه گسترده حسگرها تجربه کاربری را بهبود داده‌اند، اما هم‌زمان نقاط آسیب‌پذیری جدیدی نیز ایجاد کرده‌اند.

در سطحی گسترده‌تر، این یافته‌ها چالشی جدی برای صنعت خودرو به‌شمار می‌رود. خودروسازان در رقابتی فشرده برای افزودن قابلیت‌های رانندگی خودکار، سامانه‌های مبتنی بر هوش مصنوعی و پلتفرم‌های سرگرمی متصل به اینترنت هستند؛ با این حال، چارچوب‌های امنیت سایبری با همان سرعت توسعه نیافته‌اند.

با رشد شتابان بازار خودروهای برقی و افزایش وابستگی آن‌ها به نرم‌افزار، کارشناسان هشدار می‌دهند که در صورت اولویت‌نیافتن امنیت سایبری در مرحله طراحی، دامنه آسیب‌پذیری‌ها گسترده‌تر خواهد شد.

واکنش تسلا و گام‌های پیش‌رو
پژوهشگران اعلام کرده‌اند که یافته‌های خود را پیش از انتشار عمومی در اختیار تسلا قرار داده‌اند. این شرکت ضمن تأیید دریافت گزارش، تأکید کرده است که آزمایش‌های انجام‌شده مستلزم اتصال مستقیم دستگاه به خودرو بوده و از نگاه این شرکت، چنین سناریویی در مقایسه با حملات کاملاً از راه دور، ریسک کمتری دارد.

با این حال، جامعه تحقیقاتی بر این باور است که تهدیدهای مبتنی بر دسترسی فیزیکی همچنان در دنیای واقعی اهمیت بالایی دارند و نباید دست‌کم گرفته شوند.

کارشناسان انتظار دارند در آینده توجه بیشتری به تدوین و اجرای استانداردهای سخت‌گیرانه‌تر امنیت سایبری خودرو معطوف شود؛ از جمله رمزنگاری قوی‌تر ارتباطات داخلی، احراز هویت پیام‌های نرم‌افزاری و بازطراحی درگاه‌های دسترسی برای کاهش احتمال تزریق بدافزار.

همچنین این احتمال وجود دارد که نهادهای قانون‌گذار با توجه به شباهت روزافزون خودروهای متصل به پلتفرم‌های پیچیده محاسباتی، استانداردهای ایمنی مرتبط با این حوزه را مورد بازنگری قرار دهند.

در مجموع، با فراگیر شدن خودروهای متصل، صنعت خودروسازی ناگزیر خواهد بود امنیت سایبری را هم‌تراز با ایمنی تصادف در اولویت قرار دهد؛ رویکردی که بدون آن، «رایانه‌های چرخ‌دار» آینده می‌توانند به تهدیدی جدی برای کاربران تبدیل شوند.