كاسبرسكي: تطبيقات التحكّم بالمركبات تواجه أخطار تتعلق بالخصوصية
تتيح تطبيقات الهاتف المحمول الخاصة بالتحكّم بالمركبات المتصلة بالإنترنت وإدارتها، مزايا متنوعة لسائقي المركبات تتسم بالسهولة، ولكنها قد تكون أيضًا مصدرًا للخطر، بحسب أبحاث أجراها خبراء كاسبرسكي على 69 تطبيقًا شهيرًا للهواتف المحمولة طورتها جهات خارجية. واستطاع الخبراء تحديد أبرز التهديدات التي قد يواجهها السائقون أثناء استخدام هذه التطبيقات، فوجدوا مثلًا أن 58% من هذه التطبيقات تستخدم بيانات اعتماد الدخول الخاصة بمالكي المركبات دون طلب موافقتهم. كما لا يحتوي خُمس هذه التطبيقات على معلومات اتصال، ما يجعل من المستحيل على المستخدم الإبلاغ عن وقوع مشكلة في التطبيق. ونشرت كاسبرسكي هذه النتائج وغيرها في تقرير بعنوان “تطبيقات المركبات المتصلة“.
وتقدّم تطبيقات المركبات المتصلة بالإنترنت مجموعة واسعة من الوظائف للتيسير على السائقين، إذ تسمح للمستخدمين، مثلًا، بالتحكّم عن بعد في مركباتهم لقفل الأبواب أو فتح قفلها، والتحكم في درجة حرارة تكييف الهواء، وتشغيل المحرك وإيقافه، وما إلى ذلك. وتحظى تطبيقات الأطراف الخارجية المصممة من قبل مطوري التطبيقات المحمولة بشعبية واسعة بين المستخدمين، بالرغم من أن معظم مصنّعي المركبات يُنتجون تطبيقاتهم الرسمية الخاصة بالمركبات التي يصنعونها، وذلك لأن تلك التطبيقات قد تتيح مزايا إضافية فريدة لا تقدّمها الشركات المصنّعة.
وتغطي التطبيقات الخارجية التي حلّلتها كاسبرسكي جميع العلامات التجارية الكبرى للمركبات تقريبًا، وعلى رأسها علامات تسلا ونيسان ورينو وفورد وفولكس فاغن، باعتبار مركباتها أكثر المركبات التي يجري التحكّم فيها عبر هذه التطبيقات. ومع ذلك، فإن هذه التطبيقات ليست آمنة تمامًا للاستخدام، وفق ما أكّد باحثو كاسبرسكي.
وفحص خبراء الشركة 69 من التطبيقات التابعة لجهات خارجية والمصمِّمة للمركبات المتصلة بالإنترنت، وحدّدوا أخطارًا مرتبطة بالخصوصية قد يواجهها السائقون أثناء استخدام هذه التطبيقات. ووجد الخبراء أن أكثر من نصف هذه التطبيقات (58%) لا تحذّر من أخطار استخدام حساب المالك الموجود لدى خدمة صانع المركبة.
وينصح بعض المطورين باستخدام رمز التفويض بدلًا من اسم المستخدم وكلمة المرور ليبدو تطبيقهم أكثر مصداقية. إلا أن المشكلة هنا تكمن في حال اختراق رمز تفويض ما، فعندئذ يمكن للمخترقين الوصول إلى المركبات بالطريقة نفسها التي يمكنهم الوصول إليها باستخدام بيانات اعتماد الدخول. ما يعني ارتفاع خطر فقدان التحكّم في المركبات. لذا ينبغي للمستخدمين أن يدركوا أنهم سوف يتحملون المسؤولية وأن استخدام رموز التفويض لا يضمن لهم الأمن التامّ. لكن بالرغم من ذلك، فإن 19% فقط من المطورين ذكروا هذا الأمر بصراحة وحذروا المستخدمين بوضوح.
علاوة على ذلك، لا تحتوي 14% من التطبيقات على معلومات عن طريقة الاتصال بالمطور أو إبداء الملاحظات، ما يجعل من المستحيل الإبلاغ عن مشكلة أو طلب مزيد من المعلومات حول سياسة خصوصية التطبيق، مثلًا. ويوضح الافتقار إلى معلومات الاتصال الرسمية وصفحات الشبكات الاجتماعية أن معظم هذه التطبيقات طوّرها هواة. ولا يُفترض أن تكون التطبيقات التي يطورها هواة سيئة بالضرورة، لكن هؤلاء المطورين لا يرون أن عليهم إبداء الاهتمام المطلوب بسلامة المركبات ومستخدميها وأمن البيانات، مثلما هو حال الشركات المصنعة.
وتجدر الإشارة أيضًا إلى أن 46 تطبيقًا من أصل التطبيقات الـ 69 التي خضعت للتحليل، إما مجانية أو تتيح نمط استخدام تجريبي. وقد ساهم ذلك في تنزيل مثل هذه التطبيقات من متجر Google Play أكثر من 239,000 مرة، ما يُثير تساؤلات بشأن عدد الأفراد الذين يمنحون الآخرين القدرة على الوصول مجانًا إلى مركباتهم.
وقال سيرجي زورين رئيس قسم أمن وسائل النقل لدى كاسبرسكي، إن منافع الاتصال بالإنترنت لا حصر لها، لكنه دعا المستخدمين عند تنزيل تطبيق جهة خارجية للتحكّم في مركباتهم عن بُعد، إلى أن يكونوا على دراية بالتهديدات المحتملة، لافتًا إلى أن هذا المجال “لا يزال ناميًا وينطوي بالتالي على بعض الأخطار”. وقال: “نجد أن الكثير من المستخدمين يأتمنون التقنيات المتصلة على بياناتهم الشخصية، لكنهم قد لا يدركون أن بعض المطورين غير حريصين على اتباع نهج مسؤول فيما يتعلّق بجمع البيانات وتخزينها، ما يؤدي إلى انكشاف معلوماتهم الشخصية”.
وأضاف: “قد ينتهي الأمر بهذه البيانات مباعة على الويب المظلم إلى جهات تخريبية. كما أن مجرمي الإنترنت قد يصلون بسبب هذه البيانات إلى المركبة ويتحكّمون فيها مُحدثين تهديدات تمس سلامة المركبة والمستخدمين. لذلك نحثّ مطوري التطبيقات على جعل حماية المستخدم أولوية واتخاذ تدابير احترازية لتجنّب تعريض عملائهم وأنفسهم للخطر”.
يمكن معرفة المزيد حول أخطار استخدام التطبيقات الخارجية للسيارات المتصلة على Securelist.com.
ويوصي خبراء كاسبرسكي مطوري التطبيقات بضرورة التباع التدابير التالية:
- اعتماد حلول التطوير التي تؤمّن عملية تطوير التطبيقات عبر التحكّم في التطبيق في وقت التشغيل، وفحصه بحثًا عن الثغرات قبل نشره، وإجراء فحوص أمنية روتينية للحاويات وإجراء اختبارات لأدوات الإنتاج لضمان حمايتها من البرمجيات الخبيثة. وقد أصبحت عملية التطوير بحاجة إلى حماية معززة من التدخل الخارجي، بالنظر إلى تزايد وتيرة هجمات سلاسل التوريد.
- يلبي الحلّ Kaspersky Hybrid Cloud Security احتياجات المطورين، إذ يؤمّن حاويات Docker وWindows ويتيح نهج “الأمن في صميم البرمجة”، مع حماية ذاكرة مضيف الحاويات، ومهام الحاويات، وفحص الصور والواجهات القابلة للبرمجة. لذلك، يمكن دمج مهام الأمن في خط الإنتاج دون التأثير في عملية التطوير.
- تنفيذ آليات الحماية في التطبيق، إذ يتيح Kaspersky Mobile SDK حماية بيانات العملاء بالإضافة إلى اكتشاف البرمجيات الخبيثة والاتصال الآمن وغيرها.
أما المستخدمون فيوصيهم خبراء كاسبرسكي بما يلي:
- عدم تنزيل التطبيقات إلاّ من المتاجر الرسمية، مثل App Store وGoogle Play وAmazon Appstore. وبالرغم من أن التطبيقات الموجودة في هذه المتاجر ليست آمنة تمامًا، ولكنها على الأقلّ تخضع للفحص من مسؤولي المتاجر، الذين يطبقون بعض أنظمة الفلترة، ما يعني فرض قيود على التطبيقات قبل وصولها إلى هذه المتاجر.
- التحقّق من أذونات التطبيقات والتفكير مرتين قبل السماح لها بالقيام بأي مهمة، خاصة عندما يتعلق الأمر بالأذونات عالية الخطورة مثل الوصول إلى خدمات “إمكانيات الوصول”.
- اعتماد حل أمني موثوق به للمساعدة في اكتشاف التطبيقات والبرمجيات الإعلانية الخبيثة قبل أن تبدأ في التصرّف بشكل سيء.
- الحرص على تحديث نظام التشغيل وجميع البرمجيات بانتظام، إذ يمكن حل العديد من مشكلات الأمن عن طريق تثبيت إصدارات محدثة من التطبيقات.