چطور اپ‌ خودروهای هوشمند را ارتقا بخشیم؟

۱۴۰۱/۳/۷امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ خودورهای کانکتد یا متصل به اینترنت کلی مزایا برای کاربران خود دارند که عمدتاً به اطلاعات اضافی و کنترل ریموت در مورد کارکردهای خودرو مربوط می‌شود. با این حال طبق معمول فرصت‌های تازه همیشه تهدیدهای تازه نیز به همراه می‌آورد. برخی از این تهدیدها مرتبط با سرویس‌ها و اپ‌های مختلف صاحبان خودورهای کانکتد می‌شود که به دست تولیدکنندگان توسعه داده نشدند بلکه شرکت‌های طرف‌سوم آن‌ها را درست کرده‌اند. همکاران ما بتازگی اپ‌ها و سرویس‌های از این جنس را بررسی کردند و نقاط ضعف آن‌ها را از حیث امنیت اطلاعات شرح داده‌اند. با ما همراه بمانید.

گزارش نقاط ضعف این اپ‌ها از نقطه‌نظر کاربر نهایی توصیف شده است. با این حال آموخته‌های این کار باید توسعه‌دهندگان نرم‌افزاری نیز به خود جذب کند.

نقایص اپ‌های خودورهای کانکتد

تعدادی از اپ‌ها حکم نوعی لینک میانجی بین صاحب خودرو و سرویس تولیدکننده خودرو را دارند. آن‌ها معمولاً پسورد و لاگین (یا توکن مجوز) برای این سرویس‌ها می‌خواهند. به بیانی دیگر، دارندگان خودرو به توسعه‌دهندگان نر‌م‌افزاری کلیدهای دیجیتال خودورهایشان را می‌دهند و هر کاربری هم از این حقیقت خبر ندارد. ما 5 نقص این اپ‌ها را در ادامه طرح‌بندی کرده‌ایم:

عدم شفافیف

در رابطه بین توسعه دهنده و کاربران نهایی مهمترین چیز اعتماد است: از این رو بسیار مهم است که شفاف و صریح به کاربر اطلاع داده شود که:

  • اپلیکیشن شما از اکانت کلاینت در سرویس اورجینال استفاده می‌کند
  • شما این اطلاعات محرمانه را ذخیره نمی‌کنید (یا به صورت رمزگذاری‌شده ذخیره نمی‌کنید)
  • توکن مجوز همچنین اجازه دسترسی به تعدادی کارکرد وسیله نقلیه می‌دهد
  • با استفاده از اپ، کاربر امکان ریسک مضاعف را می‌پذیرد

عدم کانال ارتباطی با توسعه‌دهندگان

این یک تمرین شایع میان توسعه‌دهندگان نرم‌افزاری است که کانال را برای بازخورد کاربری باز می‌گذارند. البته که نمی‌شود انتظار داشت نویسندگان اپ‌های رایگان تیم پشتیبانی 24 ساعته داشته باشند اما در مورد اپ‌هایی که می‌توانند با عملکرد خودروی کانکتد تداخل داشته باشند باید دست‌کم یک سری ابزار ارتباطی برای مواقع پیش‌بینی‌نشده مرتبط با امنیت و ایمنی وسیله نقلیه یا راننده وجود داشته باشند.

پایان نادرست همکاری

وقتی مشتری اپی را پاک می‌کند علت پس آن مشخص نیست. شاید دیگر به سرویس‌های شما نیاز ندارند یا شاید صرفاً می‌خواهند دستگاه‌هایشان را تغییر دهند. اگر دلیل اولی باشد شاید یادآور شدن به کاربر در مورد اینکه باید عضویت خود را لغو کرده و/یا اکانت را پاک کنند مفید باشد. همچنین خوب است اگر به آن‌ها توصیه کنید پسورد خود را در سرویس اتومیکر تغییر داده یا توکن مجوز را لغو کنند. از طرفی این نگرانی شما را در خصوص امنیت کاربر و حریم خصوصی او نشان می‌دهد و از طرفی دیگر شما را از هر گونه مسئولیت غیرضروری خلاص می‌کند.

توصیه‌های امنیتی اضافی اپ

 هیچکس نمی‌خواهد اپ او به مجرمان سایبری اجازه حمله به خودروی کاربر نهایی را بدهد. از این رو متخصصین ما از توسعه‌دهندگان اپ‌های خودروهای هوشمند می‌خواهند اقدامات پیشگیرانه را انجام دهند تا مشتریان یا خودشان مودر هجمه مجرمان سایبری قرار نگیرند. در ادامه توصیه‌های اجرایی را خدمتتان ارائه داده‌ایم:

  • راهکارهایی را اتخاذ کنید که بتوانند با کنترل اپ در زمان اجرا پروسه‌ی توسعه نرم‌افزار را امنیت بخشند، پیش از بکارگیری آسیب‌پذیری‌ها را اسکن کنند و به طور روتین بررسی امنیتی معمول کانتینرها را انجام داده و از محصولات تست ضدبدافزار بگیرند.
  • در خود اپ مکانیزم‌های امنیتی پیاده‌سازی کنید.
  • پیش از رفتن به بازار، روی راهکارها ممیزی امنیتی انجام دهید.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.