يتم تقديم 9to5Mac Security Bite لك حصريًا من خلال Mosyle، منصة Apple الموحدة الوحيدة. إن جعل أجهزة Apple جاهزة للعمل وآمنة للمؤسسات هو كل ما نقوم به. يجمع نهجنا المتكامل الفريد للإدارة والأمن بين أحدث الحلول الأمنية الخاصة بشركة Apple من أجل التعزيز والامتثال المؤتمت بالكامل، والجيل القادم من EDR، وZero Trust المدعومة بالذكاء الاصطناعي، وإدارة الامتيازات الحصرية مع أقوى وأحدث Apple MDM في السوق. والنتيجة هي منصة Apple الموحدة المؤتمتة بالكامل والتي تثق بها حاليًا أكثر من 45000 مؤسسة لجعل الملايين من أجهزة Apple جاهزة للعمل دون أي جهد وبتكلفة معقولة. اطلب تجربتك الموسعة اليوم وافهم لماذا يعتبر Mosyle كل ما تحتاجه للعمل مع Apple.
أريد هذا الأسبوع أن أشارككم حديثًا رائعًا صادفته عبر وسائل التواصل الاجتماعي حول إحدى خدمات Apple التي لا يبدو أنها تحظى بنفس القدر من الاهتمام في المجتمع: CarPlay. على الرغم من أن شركة Apple لم تكشف علنًا عن العدد الدقيق لمستخدمي CarPlay، إلا أنني أجرؤ على القول إنها إحدى خدماتها الأكثر استخدامًا. وأحد أكبر المخاوف هو أي شيء يمكن أن يعرض سلامة السائق أو خصوصيته للخطر. إذًا، ما مدى أمان CarPlay؟
في مؤتمر TROOPERS24 لتكنولوجيا المعلومات في هايدلبرغ، ألمانيا، قدمت الباحثة الأمنية هانا نوتغن محاضرة بعنوان “Apple CarPlay: ما هو تحت الغطاء”. في هذه الجلسة، تعمق نوتغن في بنية الأمان الأساسية لـ CarPlay لتقييم مدى أمان الخدمة حقًا. وأوضحت أن CarPlay يعتمد على بروتوكولين أساسيين: IAPv2 الخاص بشركة Apple (الإصدار 2 من بروتوكول ملحقات iPod) للمصادقة وAirPlay لتدفق الوسائط. تعمل هذه العناصر معًا على تمكين التجربة السلسة التي نحبها جميعًا، مما يسمح للسائقين بالوصول إلى الرسائل والمكالمات والموسيقى وطلب Chick-fil-A وغيرها من الميزات دون الحاجة إلى فتح هواتفهم.
لكن هذه الراحة تأتي مع بعض المخاطر.
أثناء تحليلها، استكشفت نوتغن العديد من نواقل الهجوم، مع التركيز على مخاطر الوصول غير المصرح به إلى المعلومات الشخصية، والتي يمكن أن تهدد خصوصية السائق وسلامته. في حين أن نظام مصادقة CarPlay معزز تمامًا لمنع هجمات إعادة التشغيل، فقد وجد Nöttgen أن ناقلات أخرى مثل هجمات DoS التي تستهدف أي محولات AirPlay لاسلكية تابعة لجهة خارجية ظلت ممكنة، على الرغم من صعوبة تنفيذها، ولكنها ممكنة.
هناك طبقة أخرى مثيرة للاهتمام وهي سيطرة Apple الصارمة على أجهزة CarPlay من خلال برنامج Made for iPhone (MFi). يُطلب من جميع أجهزة CarPlay المعتمدة أن تتضمن شريحة مصادقة Apple، والتي يدفعها مصنعو السيارات مقابل دمجها في سياراتهم. في حين أن النظام البيئي المغلق لشركة Apple واجه انتقادات لتقييد وصول الطرف الثالث، فإنه يخلق أيضًا عقبة كبيرة أمام المهاجمين المحتملين. لشن هجوم متطور، مثل استخراج المفتاح الخاص، سيحتاج الممثل إلى الوصول الفعلي إلى شريحة MFi.
واختتمت نوتغن حديثها بالإشارة إلى المجالات التي تحتاج إلى مزيد من الاستكشاف، مثل الطرق المحتملة لاستخراج المفاتيح الخاصة وإجراء اختبار أكثر شمولاً لبروتوكولات CarPlay. وتتمثل مخاوفها في أنه إذا تمكن المهاجمون من الحصول على هذه المفاتيح، فقد يعترضون المعلومات الحساسة ويفكون تشفيرها.
لسوء الحظ، فإن طبيعة ملكية كل من IAPv2 وتطبيق Apple لـ AirPlay تجعل التحقق الأمني المستقل أمرًا صعبًا إلى حد ما. أنا أشجع القراء بشدة على الاستماع كثيرًا إلى حديث هانا نوتغن أدناه، فهو مثير للاهتمام وممتع إلى حد ما!
يمكنك تنزيل العرض التقديمي الكامل هنا.
عن لدغة الأمن: Security Bite هو عمود أسبوعي يركز على الأمان على موقع 9to5Mac. كل أسبوع، أرين وايتشوليس يقدم رؤى حول خصوصية البيانات، أو يكشف عن نقاط الضعف، أو يلقي الضوء على التهديدات الناشئة داخل النظام البيئي الواسع لشركة Apple الذي يضم أكثر من 2 مليار جهاز نشطق لمساعدتك لا تزال آمنة.
فأولو أرين: تويتر/Xلينكد إن , المواضيع
FTC: نحن نستخدم الروابط التابعة التلقائية لكسب الدخل. أكثر.
اكتشاف المزيد من عالم الآيفون
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
