בעידן שבו רכבים הם לא רק כלי תחבורה אלא מחשבים ניידים על גלגלים, אחת התגליות המטרידות של השנים האחרונות קשורה דווקא לרכבים החשמליים המתקדמים ביותר בשוק. צוות המחקר של PlaxidityX Threat Labs חשף פרצת אבטחה משמעותית במערכת של Tesla Model 3 - מהדגמים הנמכרים ביותר בישראל ובעולם - שמאפשרת לגורמים זרים "לגנוב" את הרכב בלי מפתח פיזי או ידיעה מוקדמת של הבעלים.
הפרצה משתמשת במה שמכונה הזרקת CAN-bus - שיטה טכנית שבה ניתן להעביר פקודות מזויפות אל רשת תקשורת פנימית ברכב. ברכב מודרני, מרבית הפונקציות הבסיסיות - החל מהנעילה ועד להתנעת הרכב – נשלטות דרך רשת זו, ללא צורך בהזנת מפתח מכני. באמצעות התקן שמתחבר לנקודת OBD-II ברכב ויכול להיות מזויף יחסית בקלות, ניתן לשלוח לרשת הפנימית פקודות פתיחה והתנעה, כאילו מדובר בבקשה לגיטימית מהרכב עצמו.
חשוב לציין: בזמן שבו PlaxidityX חשפה את הפגיעות ודיווחה עליה ליצרן, Tesla שחררה עדכון תוכנה שתיקן את הפגם בדגמים החדשים ובעיקר לכל מי שהתקין את העדכון האחרון. משמעות הדבר היא כי מכוניות שמריצות גרסה מעודכנת של הקושחה מוגנות מפני שיטה זו. עם זאת, בתקופה שבין גילוי הפרצה לבין פרסום העדכון, מכוניות שעדיין לא עודכנו היו חשופות לסיכון ממשי.
הגילוי הזה אינו מקרי או ייחודי לטסלה בלבד. חוקרי אבטחת מידע נוספים בתעשייה מצביעים על נקודות תורפה דומות במערכות כניסה ללא מפתח ברכבים מודרניים, לרבות תקיפות מסוג "relay attacks", שמאפשרות לגנוב את הרכב באמצעות הגברת אותות רדיו מה-key fob גם כאשר הוא נמצא במרחק מה מהרכב.
בין אם מדובר בהזרקת CAN-bus ובין אם בהגברת אותות רדיו, מתברר כי מערכות הכניסה ללא מפתח המסורתיות אינן חסינות עדיין בפני התקפות סייבר. מציאות זו מציבה אתגר מהותי בפני יצרני הרכב: כיצד לשמר את נוחות המשתמש מבלי להתפשר על רמת האבטחה?
הצורך הפך ברור במיוחד לאור העלייה המתמדת של גניבות רכבים בעשור האחרון - תופעה שגורמת לנזק כלכלי עצום, לפגיעה בביטחון האישי והגדלת עלויות הביטוח.
התשובה של מומחי הסייבר ברכב היא לא רק גילוי חולשות, אלא גם פתרונות מעשיים: מערכות גילוי ומניעה בזמן אמת, כמו פתרון ה- vDome של PlaxidityX, שמטרתו לזהות ולחסום ניסיונות פריצה בזמן אמת - עוד לפני פתיחת הרכב או התנעתו.
גם הרכבים המתקדמים ביותר על הכביש אינם חסינים מפני איומים דיגיטליים. הסכנה אינה פיזית, אלא שקטה ובלתי נראית - גניבה המתבצעת ללא מפתח, בתוך שניות וללא כל התראה. בעידן שבו הרכב נשלט באמצעות תוכנה, חדשנות לבדה אינה מספיקה; היא חייבת לבוא יד ביד עם אבטחה.
הכותב הוא ראש צוות מחקר איומים (Threat Labs) ב-PlaxidityX.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו