尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
據外媒報導,兩款頗受歡迎的智能汽車報警系統存在重大安全缺陷,這使得潛在的黑客能夠跟蹤車輛、打開車門,在某些情況下還能切斷引擎。由Pandora和Viper開發的汽車警報系統很容易被遠程利用,使潛在的攻擊者能夠劫持車輛並監視駕駛人員。
本月初,網路安全研究人員公布了這些所謂「不可破解」的智能警報系統的安全狀況,它們與供應商的說法嚴重不符。
在用於控制Pandora和Viper(英國稱為Clifford)開發的警報系統的智慧型手機應用程序中發現了可利用的軟件漏洞,而Pandora和Viper是全球最受歡迎的兩款智能汽車警報系統。Viper在SmartStart 聲稱旨在幫助客戶「可以從幾乎任何地方啟動、控制和定位」他們的汽車,其智慧型手機應用程序已被下載超過300萬次。
遠程劫持汽車
發現此漏洞的Pen Test Partners研究人員表示,「此漏洞是API中相對簡單的不安全直接對象引用(IDOR)」,「通過篡改參數,可以更新帳戶註冊的電子郵件地址而無需身份驗證,發送重置密碼到修改後的地址(即攻擊者更改的)並接管帳戶。
更改密碼
正如Pen Test Partners的研究團隊所發現的那樣,該智能警報系統允許潛在的攻擊者利用安全漏洞,導致車輛和車主的詳細信息被盜,還會導致汽車解鎖、警報關閉、車輛被跟蹤、麥克風受損,以及防盜控制系統被劫持。在某些情況下,網路攻擊還可能導致汽車引擎在使用過程中失靈,這可能導致嚴重的交通事故。具體如下:
實時定位汽車的地理位置;
識別車型和車主詳細信息;
禁用警報器;
解鎖汽車;
啟用和禁用固定裝置;
某些情況下,汽車引擎在行駛時可能會「熄火」;
通過麥克風「窺探」駕駛人員;
根據警報器的不同,也有可能使車輛失竊。
研究人員還表示,他們測試的一些智能警報器能夠使用麥克風竊聽所有對話,這樣犯罪分子也可以窺探數百萬汽車的車主隱私。更糟糕的是,汽車警報API中發現的缺陷還會暴露大量的個人身份信息。
易受黑客攻擊的汽車軟件
汽車製造商添加的內置軟件或智慧型手機軟件的安全漏洞被攻擊者惡意利用,這不是第一次發生,也絕不會是最後一次。
例如,特斯拉的電動汽車在2016年被發現易受攻擊,攻擊者通過惡意軟件感染車主的Android智慧型手機,隨後使用它來控制特斯拉汽車。
2017年10月,一名電子產品設計師發現了數款斯巴魯車型的密鑰卡系統存在安全漏洞,該問題可能被濫用於劫持客戶的汽車,而該汽車製造商在聯繫時拒絕進行修補。
2018年4月,一家荷蘭網路安全公司發現一些大眾汽車使用的車載信息娛樂系統(IVI)暴露於遠程黑客攻擊。
價值巨大,漏洞急需修復
Pandora號稱「不可破解」,而如今該聲明已從其網站上刪除
Pen Test Partners已經向兩家製造商通報了易受攻擊的智能汽車警報系統漏洞,建議其在7天內解決安全問題,因為犯罪分子已經意識到並且可能已在野外利用它們的可能性很高。Pandora和Viper都對此迅速回應並進行修補,比研究人員預期的要快得多。
Pen Test Partners的安全研究人員也指出這兩家廠商無意中暴露了約300萬汽車,使車主處於風險之中。據保守可能,這些汽車的總價值約1500億。
本文作者:Gump,轉載自:http://www.mottoin.com/detail/3852.html