أخبار الإنترنتأخبار قطاع الأعمالالأمن الإلكتروني

تسريب التعليمات البرمجية لميزة السيارة الذكية من مرسيدس

أفاد تقرير جديد بأن التعليمات البرمجية المصدرية لمكونات “السيارة الذكية” المثبتة في مركبات مرسيدس قد تسربت عبر الإنترنت خلال عطلة نهاية الأسبوع، وحدث التسريب بعد أن اكتشف مهندس البرمجيات (تيل كتمان) Till Kottmann بوابة ويب (GitLab) تابعة لشركة (دايملر) Daimler الألمانية المصنعة لسيارات مرسيدس.

وكان مهندس البرمجيات قادرًا على تسجيل حساب على بوابة استضافة التعليمات البرمجية لشركة دايملر، ثم تنزيل أكثر من 580 مستودعًا برمجيًا من مستودعات (GitLab)، التي تحتوي بدورها على التعليمات البرمجية المصدرية لوحدات المنطق المدمجة (OLU) المثبتة في سيارات مرسيدس.

وحدات المنطق المدمجة:

ووفقًا لموقع دايملر على الويب، فإن وحدات المنطق المدمجة (OLU) عبارة عن مكون يوجد بين أجهزة السيارة وبرامجها، ويربط هذا المكون المركبة بالسحابة.

وتقول دايملر إن مكون (OLU) يبسط الوصول التقني وإدارة البيانات المباشرة للمركبة، ويسمح لمطوري الجهات الخارجية بإنشاء تطبيقات تسترد البيانات من شاحنات مرسيدس.

ويتم استخدام هذه التطبيقات عادةً من أجل الحصول على ميزات، مثل تتبع الشاحنات أثناء التنقل، أو تتبع الحالة الداخلية للشاحنة، أو لإيقاف الشاحنات عن العمل في حالة السرقة.

ووصل كتمان إلى خادم (GitLab) التابع لشركة دايملر عبر استخدام استعلامات بحث جوجل المتخصصة، وقال مهندس البرمجيات إن شركة دايملر فشلت في تنفيذ عملية تأكيد الحساب، مما سمح له بتسجيل حساب على خادم (GitLab) الرسمي للشركة باستخدام بريد إلكتروني لشركة دايملر غير موجود.

ويعد (GitLab) بمثابة حزمة برمجية قائمة على الويب تستخدمها الشركات لتركيز العمل على مستودعات (Git)، التي هي عبارة عن برنامج متخصص لتتبع التغييرات في التعليمات البرمجية المصدرية، ويسمح لفرق الهندسة المتعددة الأشخاص بكتابة التعليمات البرمجية ثم مزامنتها مع خادم مركزي.

ولم يشتمل أي ملف من ملفات مستودعات (Git) المسربة على ترخيص مفتوح المصدر، مما يشير إلى أن هذه كانت معلومات خاصة لا ينبغي نشرها على الملأ.

وتضمنت المشاريع المسربة التعليمات البرمجية المصدرية لمكونات وحدات المنطق المدمجة (OLU) لشاحنات مرسيدس، إلى جانب مكونات دايملر الداخلية لإدارة وحدات المنطق المدمجة (OLU) البعيدة، والتوثيق الداخلي، ونماذج التعليمات البرمجية.

وفي حين أن التسريب بدا غير ضار في البداية، لكن شركة (Under the Breach) – التي راجعت البيانات – اكتشفت كلمات مرور ورموزًا مميزة لواجهات برمجة التطبيقات (API) للأنظمة الداخلية لشركة دايملر، بحيث يمكن استخدام كلمات المرور والرموز المميزة للتخطيط لعمليات الاقتحام المستقبلية ضد شبكة دايملر السحابية والشبكة الداخلية.

زر الذهاب إلى الأعلى