השבוע נחשפה פרצת אבטחה חמורה - מיליוני רכבי סובארו היו חשופים למעקב והפעלה מרחוק. פגם אבטחה במערכת הרכב של סובארו אפשר לפרוץ למכוניות, לאתר את מיקומן ואפילו להניע אותן. למרות שהבעיה תוקנה, יש חשש שרכבים של מותגים נוספים סובלים מהפרצות דומות.

דמיינו שהאקר, גוף טרור, מדינה עוינת שולטים ברכב שלכם - הם יכולים לגרום לפגיעה קשה ומוות, הם יכולים להאזין לכם, הם יכולים לקבל את כל מה שאם מתקינים, מחברים לאותו - את כל המידע עליכם מהווטסאפ, מיתר האפליקציות. הם יכולים לדעת מי אתם ומה אתם ולהשתמש בזה. פרצות אבטחה כבר קיימות ובדיוק כפי שבתחום הסייבר בכלל אין דבר כזה 100% הגנה, לא משנה מה יעשו חברות הרכב, יהיו פרצות.

השאלה רק מה יהיה הנזק. אם ייכנסו לרכב ויבקשו כופר, זה יהיה נזק כספי, אבל זו לא שאלה של חיים ומוות. אבל אם ארגון טרור או מדינת טרוק תפרוץ למערכות הרכבים של אזרחים. הם גם יוכלו לשאוב מידע מודיעיני חשוב ביותר וגם יכולים לגרום לפגיעה פיזית גדולה - דמיינו למשל שהם גורמים להאצת הרכב ותאונה? ויש מאות אפשרויות נוספות לפגוע בנוסעים. 

ככל שהרכב החשמלי ובהמשך הרכב האוטונומי ייכנסו כך ההתקפות עליהן יעלו מדרגה. זה יהיה מסוכן ולא בטוח שנותנים על זה את הדעת. למשל, קיים חשש מאוד גדול שהחברות הסיניות בעצם כפופות לממשל הסיני שיכול בבוא היום לשאוב את המידע מהם על מכלול הלקוחות-בעלי הרכבים. זו הסיבה שבעולם מערימים על הסינים קשיים במכירת רכבים ומערכות טכנולוגיה. אצלנו מנסים ללכת בין הטיפות, אבל מודעים לכך שקיים סיכון. בצבא הצטיידו ברכבים סיניים לדרגות גבוהות רק לאחר שהרכבים קיבלו התאמה טכנולוגית-סייברית מעבר לרגיל. 

• הצרות הגדולות של חברות הרכב המסורתיות
• רכב חשמלי - שלוש שנים, 40,000 ק"מ, 133 ש"ח בחודש
• המלצת המערכת: כל הכותרות 24/7

על החשש הזה תוכלו לקרוא כאן - הסכנה הגדולה של הרכבים החשמליים הסינים - והאם להימנע מקניית רכב כזה?

נעבור לאירוע מהשבוע - כאמור, פרצת אבטחה גדולה לרכבי סובארו. החברה חשפה שקיים פגם אבטחה חמור במערכת הרכב וזה אפשר להאקרים לעקוב אחרי מיליוני מכוניות, להפעיל אותן מרחוק ולגשת להיסטוריית המיקומים של הבעלים. כך דיווחו בתקשורת האמריקאית כשעוד נודע שסובארו טוענת שהיא תיקלה במהירות את התקלה הזו. עם זאת, זה הוביל לחשש מאוד גדול בארה"ב כי קיימות בעיות גם אצל יצרניות רכב אחרות.

לפי הדיווחים, חוקר אבטחת מידע אמריקאי גילה את הבעיה במקרה – אחרי שרכש לאימו מכונית סובארו אימפרזה בשנת 2023. תוך מספר חודשים בלבד הוא הצליח לפרוץ את הגנות המערכת ולגשת למידע אישי של בעלי רכבים אחרים. הוא תיעד את הפריצה בסרטונים שהעלה לרשת, והראה כיצד ניתן לעקוב אחר תנועות הרכב, לצפות בהיסטוריית הביקורים – מבית הרופא ועד מסעדות ופגישות פרטיות – ואף להפעיל את הרכב ללא מפתח. הוא הוסיף שניתן לראות מידע ונתונים על הרכב והתנועה בו בשנה האחרונה.

• הרובוטקסי של גוגל יתחיל לפעול בשדה התעופה סן פרנסיסקו
• הדבר הגדול הבא של BYD דגמי Fang Cheng Bao
• תוכן שיווקי צברתם הון? מה נכון לעשות איתו?
• כך חוסכים אלפי שקלים בשנה בטיפולי רכב - מדריך פרקטי עם...

דמיינו שאפשר לעקוב אחרי בן זוג שיש חשש שהוא בוגד, דמיינו שעוקבים אחרי מישהו כדי למצוא עליו מידע שיוביל לסחיטתו, דמיינו שעוקבים אחרי מישהו כדי לפרוץ לביתו, לרצוח אותו, ויש בלי סוף אפשרויות. העניין הזה איכשהו לא צף יותר מדי לכדי איום שמדובר בשיח, אבל יש כאן חיסרון מאוד גדול לרכבים החשמליים.

הפרצה בסובארו התגלתה במערכת השליטה מרחוק של הרכב, הזמינה בארה"ב, קנדה ויפן. על ידי התחזות לעובדי החברה, ניתן היה לגשת למידע האישי של הנהגים ולשלוט במערכת הרכב. מדובר בסיכון גדול, שכן במקרים מסוימים אפשר אפילו לגנוב את הרכב בקלות, בלי להשאיר סימנים של פריצה.

לפי הדיווח, סובארו קיבלה את הדיווח על הבעיה לפני כחודשיים ומיהרה לסגור את הפרצה. עם זאת, מומחי אבטחה מזהירים כי מערכות דומות קיימות גם במותגים אחרים כמו הונדה, יונדאי, קיה, טויוטה ואינפיניטי, וייתכן שגם בהם קיימים חורי אבטחה מסוכנים.

לא רק סובארו – גם יצרניות אחרות בסיכון

בעידן שבו מכוניות הופכות חכמות ומחוברות לרשת, נושא האבטחה הופך לקריטי. בזמן שטסלה ו-BYD משקיעות הון בפיתוח מערכות הגנה מתקדמות, יש חשש שיצרנים מסורתיים לא מצליחים לעמוד בקצב, כשמעבר לכך - ממש לא בטוח שטסלה ו-BYD בטוחות.  חשיפת הפרצה בסובארו מעלה שאלות לגבי בטיחותן של מערכות שליטה מרחוק וכל ממשק שמתחבר למעשה לרכב החשמלי. כל ממשק כזה יכול להיות "סוכן זר", גוף עברייני, טרור ועוד שרוצה לצבור עלינו מידע, לשאוב מודיעין ולהשתמש בזה נגדנו. 

בשנים האחרונות היו הרבה מקרים של פרצות, כשברוב המקרים החברות הצליחו לסגור את העניין כעניין פנימי ובכל זאת יצאו החוצה מספר מקרים. ב-2015 היתה פרצה לג'יפ צ'רוקי: חוקרי אבטחה הצליחו להשתלט מרחוק על ג'יפ צ'רוקי באמצעות חולשה במערכת הבידור והמידע. הם הפגינו את היכולת לשלוט בדברים כמו מיזוג אוויר ומערכת הבלמים, מה שגרם לפיאט כרייזלר לזמן חזרה מיליוני רכבים לשדרוג תוכנה.

במהלך השנים מאז היו עוד פרצות, בחרנו להביא את הפרצות במערכת הטעינה. האקרים מתקיפים תחנות טעינה לרכבים חשמליים, שם הם יכולים לגנוב מידע או לשבש את תהליך הטעינה. זה כולל התקפות סייבר על עמדות טעינה ציבוריות, שיכולות להוות סיכון בטיחותי אם הן משבשות את הטעינה או משתמשות בהן כנקודת כניסה להתקפות על רכבים.

חשש מהסינים:

יש חששות גלובליים לגבי אבטחת המידע ברכבים חשמליים סיניים, במיוחד מיצרנים כמו BYD ו-WM Motor. הדאגה נובעת מהנגישות של הממשלה הסינית למידע אישי או מהשתלת אפשרויות מעקב ברכבים.

ישנן דאגות שהאקרים ממומנים על ידי ממשלות יכולים לנצל חולשות ברכבים חשמליים לצורך ריגול או התקפות סייבר. לדוגמה, יש חששות שהרכבים החשמליים של BYD יכולים להכיל חומרה או תוכנה שתאפשר גישה למידע רגיש.

בשנת 2023 היו מספר התקפות כופר שכוונו ליצרני רכבים ולספקים של רכיבים חשמליים. יש כנראה לא מעט התקפות כאלו מתחת לרדארר. חברות הרכב לא ירצו שאנחנו נדע שהמערכות שלהם ניתנות לפריצה. מוקד פריצה נוסף הוא ממשקי ה-API. הממשקים האלו שמחברים בין רכיבים שונים הפכו לנקודת חולשה גם בגלל שהן נקודה שבה יש רכיבים ממסר יצרנים ושיש צורך לעשות אינטגרציה בינהם. גם פריצות ל-API שמאפשר ממשקים ממקורות מידע ונתונים אחרים יכולות להיות שאיבת נתונים ומידע וגם יכולות שליטה על מערכות הרכב.

אז מה עושים? מפתחים מערכות הגנה. ההשקעה בתחום עולה בקצב מאוד גבוה והחברות מנסות לייצר שכבת הגנה חזקה, אבל הבעיה כאמור שאין דבר כזה 100%, והתחום הזה שעובר שינויים טכנולוגיים מכיל הרבה נקודות תורפה שהאקרים או מדינות וגופים עויינים יכולים לנצל.

שאלות ותשובות בנושא פרצת האבטחה ברכבי סובארו

מה בדיוק אפשרה הפרצה בסובארו?
הפגם אפשר להאקרים לעקוב אחר מיקום הרכב, לגשת להיסטוריית הנסיעות ולשלוט בהנעת הרכב מרחוק – כל זאת ללא ידיעת הבעלים.

האם כל הרכבים של סובארו היו בסכנה?
הפרצה השפיעה בעיקר על דגמים המחוברים למערכת השליטה מרחוק, הזמינה בארה"ב, קנדה ויפן.

איך סובארו טיפלה בבעיה?
החברה קיבלה דיווח מחוקרי אבטחה לפני כחודשיים ומיהרה לסגור את הפרצה, כך שהמערכת אינה חשופה יותר.

האם ייתכן שפרצות דומות קיימות גם ברכבים אחרים?
כן, מומחי אבטחה מזהירים כי בעיות דומות עשויות להתגלות גם ביצרנים אחרים כמו הונדה, יונדאי, קיה וטויוטה.

מה המשמעות של הפרצות הללו לנהגים?
נהגים צריכים להיות מודעים לכך שמערכות הרכב המקושרות לרשת עלולות להיות יעד למתקפות סייבר, ולכן חשוב לבדוק עדכוני אבטחה ולעקוב אחרי הוראות היצרן.

איך אפשר להגן על הרכב מפני פריצות כאלה?
מומלץ לעדכן את מערכת הרכב באופן שוטף, להימנע מחיבור למקורות לא מאובטחים ולוודא שהחשבון המחובר לרכב מוגן בסיסמה חזקה. אבל כאמור, אין הגנה מוחלטת.