ثغرات أمنية خطيرة في بوابة وكلاء سيارات تتيح لمخترق فتح المركبات عن بعد من أي مكان
باحث أمني يكشف كيف أن عيوبًا في بوابة وكلاء سيارات عبر الإنترنت كشفت المعلومات الخاصة وبيانات المركبات لعملائها، وكان من الممكن أن تسمح للمخترقين بالوصول عن بعد إلى أي من سيارات العملاء.
قال باحث أمني إن عيوبًا في بوابة إلكترونية تابعة لإحدى شركات صناعة السيارات الكبرى كشفت عن المعلومات الشخصية والمالية لعملائها، وكان من الممكن أن تسمح للمخترقين بفتح أبواب أي من سيارات العملاء عن بعد.
أخبر إيتون زفير، وهو باحث أمني في شركة Harness، موقع TechCrunch أن الثغرة التي اكتشفها سمحت له بإنشاء حساب مسؤول (Admin Account) يمنح "وصولًا غير مقيد" إلى البوابة الإلكترونية المركزية لشركة السيارات التي لم يكشف عن اسمها. وقال زفير إنه لا يخطط لتسمية الشركة، لكنه ذكر أنها شركة سيارات معروفة على نطاق واسع ولديها العديد من العلامات التجارية الفرعية الشهيرة.
بهذا الوصول، كان بإمكان مخترق خبيث عرض البيانات الشخصية والمالية لعملاء الشركة، وتتبع المركبات، وتسجيل العملاء في ميزات تسمح للمالكين — أو للمخترقين — بالتحكم في بعض وظائف سياراتهم من أي مكان.
في مقابلة مع TechCrunch قبل حديثه في مؤتمر Def Con الأمني في لاس فيغاس، قال زفير إن هذه الثغرات تسلط الضوء على أمن أنظمة الوكلاء هذه، التي تمنح موظفيها وشركاءها وصولًا واسعًا إلى معلومات العملاء والمركبات.
كيف تم اكتشاف الثغرة؟
وجد زفير، الذي سبق له اكتشاف ثغرات في أنظمة عملاء شركات سيارات أخرى، هذه الثغرة في وقت سابق من هذا العام كجزء من مشروع قام به في عطلة نهاية الأسبوع.
وقال إنه على الرغم من أن العثور على الثغرات الأمنية في نظام تسجيل الدخول للبوابة كان تحديًا، إلا أنها بمجرد العثور عليها، سمحت له بتجاوز آلية تسجيل الدخول بالكامل من خلال تمكينه من إنشاء حساب "مسؤول وطني" جديد.
كانت الثغرات خطيرة لأن الكود البرمجي المعيب كان يتم تحميله في متصفح المستخدم عند فتح صفحة تسجيل الدخول للبوابة، مما يسمح للمستخدم — في هذه الحالة، زفير — بتعديل الكود لتجاوز فحوصات الأمان الخاصة بتسجيل الدخول. وأخبر زفير TechCrunch أن شركة السيارات لم تجد أي دليل على استغلال سابق، مما يشير إلى أنه كان أول من اكتشفها وأبلغ الشركة بها.
عند تسجيل الدخول، منح الحساب وصولًا إلى بيانات أكثر من 1000 وكيل للشركة في جميع أنحاء الولايات المتحدة.
وقال زفير، في وصفه للوصول الذي حصل عليه: "لا أحد يعلم حتى أنك تنظر بصمت إلى جميع بيانات هؤلاء الوكلاء، وجميع بياناتهم المالية، وجميع أمورهم الخاصة، وجميع عملائهم المحتملين".
تتبع المالكين والتحكم في السيارات عن بعد
قال زفير إن أحد الأشياء التي وجدها داخل بوابة الوكلاء كان أداة بحث وطنية عن العملاء تسمح للمستخدمين المسجلين بالبحث عن بيانات المركبة والسائق الخاصة بتلك الشركة.
في مثال واقعي، أخذ زفير رقم التعريف الفريد للمركبة (VIN) من الزجاج الأمامي لسيارة في موقف عام، واستخدم الرقم لتحديد هوية مالك السيارة. وقال زفير إن الأداة يمكن استخدامها للبحث عن شخص ما باستخدام اسمه الأول والأخير فقط.
مع الوصول إلى البوابة، قال زفير إنه كان من الممكن أيضًا ربط أي مركبة بحساب هاتف محمول، وهو ما يسمح للعملاء بالتحكم عن بعد في بعض وظائف سياراتهم من خلال تطبيق، مثل فتح أبواب سياراتهم.
شرح تقني: رقم التعريف الفريد للمركبة (Vehicle Identification Number - VIN) هو رمز فريد مكون من 17 حرفًا ورقمًا يُخصص لكل سيارة عند تصنيعها، ويعمل كهوية فريدة لها.
قال زفير إنه جرب هذا في مثال واقعي باستخدام حساب صديق وبموافقته. عند نقل ملكية الحساب إلى حساب يسيطر عليه زفير، قال إن البوابة تتطلب فقط "إقرارًا" — وهو ما يشبه وعد شرف — بأن المستخدم الذي يقوم بنقل الحساب شرعي.
وأضاف زفير: "لأغراضي، حصلت على صديق وافق على أن أستولي على سيارته، وقمت بذلك. لكن [البوابة] كان بإمكانها فعل ذلك لأي شخص بمجرد معرفة اسمه — وهو ما يخيفني قليلاً — أو كان بإمكاني ببساطة البحث عن سيارة في مواقف السيارات".
قال زفير إنه لم يختبر ما إذا كان بإمكانه قيادة السيارة، لكنه أشار إلى أن الثغرة يمكن أن يساء استخدامها من قبل اللصوص لاقتحام وسرقة الأغراض من المركبات، على سبيل المثال.
مشاكل أمنية أخرى: انتحال الهوية
كانت هناك مشكلة رئيسية أخرى تتمثل في إمكانية الوصول إلى أنظمة وكلاء آخرين مرتبطة بنفس البوابة من خلال ميزة تسجيل الدخول الموحد (Single Sign-On)، وهي ميزة تسمح للمستخدمين بتسجيل الدخول إلى أنظمة أو تطبيقات متعددة باستخدام مجموعة واحدة فقط من بيانات الاعتماد.
بهذا الوصول، قال زفير إن البوابة تحتوي أيضًا على ميزة تسمح للمسؤولين، مثل حساب المستخدم الذي أنشأه، بـ "انتحال هوية" (impersonate) مستخدمين آخرين، مما يسمح بالوصول إلى أنظمة الوكلاء الأخرى كما لو كانوا ذلك المستخدم دون الحاجة إلى بيانات تسجيل الدخول الخاصة بهم. وقال زفير إن هذا يشبه ميزة تم اكتشافها في بوابة وكلاء تويوتا في عام 2023.
وقال زفير، متحدثًا عن ميزة انتحال هوية المستخدم: "إنها مجرد كوابيس أمنية تنتظر الحدوث".
إصلاح الثغرة
قال زفير إن إصلاح الثغرات استغرق حوالي أسبوع في فبراير 2025، بعد وقت قصير من إبلاغه لشركة السيارات.
وختم قائلًا: "الدرس المستفاد هو أن ثغرتين بسيطتين فقط في واجهة برمجة التطبيقات (API) فتحتا الأبواب على مصراعيها، والأمر يتعلق دائمًا بالمصادقة (Authentication). إذا أخطأت في هذا الجانب، فإن كل شيء ينهار".
