网易首页 > 数码频道 > 正文

Android应用被黑 数百万汽车面临被盗风险

0
分享至
摘要:在车联网时代,汽车制造商和第三方开发商竞相将智能手机演变成遥控器,允许驾驶员通过手机来实现车辆定位、开锁/解锁等功能,甚至于部分应用能够实现《霹雳游侠》中的场景——召唤汽车或者卡车到身边。但在提供便携的同时智能手机也存在被黑客入侵的风险,一旦手机被黑那么所有通过网络控制的互联网汽车功能就落入了黑客的的掌控中。

Android应用被黑 数百万汽车面临被盗风险

而且近日公布的调查结果表明,这种担忧是完全存在的。近日,俄罗斯安全公司卡巴斯基的一组研究人员对 9 辆互联网汽车的 Android 应用(来自 7 家公司)进行了测试,这些应用的下载量已经超过几十万,甚至部分应用超过了 100 万,但是他们却发现这些应用连最基础的软件保护都没有提供,更谈何说帮助车主保护这个重要的宝贵财产之一。

研究人员表示,通过 Root 目标设备获得欺骗用户安装恶意代码,黑客能够使用卡巴斯基所测试的所有 7 款应用来定位车辆位置,解锁车门,甚至能够在某种情况下点火启动。

点火

为了避免那些偷车贼利用这些信息进行犯罪,目前研究人员拒绝提供关于测试应用的详细名称。不过,他们认为应该向汽车行业发出警告,要求汽车制造商更加谨慎的对待安全问题。

卡巴斯基的安全研究员 Viktor Chebyshev 说道:「为何互联网汽车应用开发者对于安全的关注度要高于银行应用的开发者?他们都能帮助用户控制各种有价值的东西,但是他们往往不会对安全机制进行过多的思考。」

研究人员发现最糟糕的攻击行为是,允许黑客进入到锁定车辆的内部;通过仿制钥匙或则禁用车辆的防盗器等额外手段,偷车贼能够产生更严重的后果。研究人员指出尽管并未纳入到本次的测试中,但是特斯拉的汽车允许通过智能手机应用启动驾驶,一旦智能手机被入侵将会产生更严重的损失。

尽管对应用的多处漏洞都进行了较为全面的分析,但在测试过程中只随机利用其中一个漏洞对受影响车型发起攻击。而且研究人员表示目前尚未发现有 Android 恶意软件激活使用他们所描述的攻击手段。

不过他们仍然认为,只是单单查看应用的代码脚本,偷车贼都可能知道利用这些漏洞和功能,而且他们还指出来自黑客论坛的有限证据已经表示在这种攻击已经在黑市上引起了注意和兴趣。

根据论坛帖子的截图(下方)显示,已经存在关于互联网汽车凭证的交易信息,其中包含面向不同市场和不同车型的用户名称、密码、PIN 码和车辆识别号码(VIN)信息。每个账户的行情售价为数百美元。Chebyshev 表示:「网络犯罪分子现在已经瞄准了这些攻击。」

Android应用被黑 数百万汽车面临被盗风险

Android应用被黑 数百万汽车面临被盗风险

卡巴斯基研究人员概述了测试 Android 应用过程中使用到的三项技术。(iOS 通常被认为更难入侵)。在本次测试中除了其中一款外,所有应用中的用户名或密码都以未加密形式存储在手机中,有些应用甚至两个都没有进行加密。通过 root(利用漏洞获得设备操作系统的所有权限)受害人的手机,黑客访问存储在本地的登陆信息,并将其发送至他或者她的命令及控制服务器上。

第二种,安全研究人员认为黑客会欺骗车主下载安装安装包含恶意程序的修改版互联网汽车应用,从而获取登陆细节。第三种,偷车贼可能通过目标设备感染可执行「overlay」攻击的恶意程序:一旦车辆应用打开,恶意程序就会自动加载并用虚假的接口进行替代,从而窃取和转移用户凭证。黑客甚至可以加载包含多个 overlays 的恶意程序,从而欺骗受害者已经完成了所有的互联网汽车连接。Chebyshev 说:「如果我是攻击者,我将 overlays 所有互联网汽车应用,并只窃取所有应用程序的凭证。」

系好安全带

卡巴斯基的研究人员表示,他们已经向数家存在安全隐患的汽车制造商进行报告,目前依然还在通知其他车商。但他们同时也注意到,他们所指出的问题并不仅仅只是安全 BUG,而是缺乏行之有效的安全保障。对存储在设备上的凭证进行加密或者 Hashing,增加双因素认证或者指纹识别、创建完整性检查确保应用不被恶意程序所修改等方式,都能大大改善这个问题。

事实上,这并非是首次关于互联网汽车应用程序缺乏保护措施的报道,而且也不完全局限于 Android 操作系统。安全专家 Samy Kamkar 在 2015 年就曾展示,利用隐藏在汽车上的一小块硬件,能够无线截取通用 Onstar、克莱斯勒的 UConnect,梅赛德斯奔驰的 mbrace 和宝马的 Remote 等 iOS 应用的凭证。Kamkar 的攻击还能允许对这些车辆进行远程定位、解锁,甚至在某些情况下点火启动。

相比较卡巴斯基和他的攻击手段,Kamkar 表示:「其中不会有任何警告:你的凭证被黑客窃取或重复的使用,不会收到任何手机通知。但有趣的是,一旦你的手机遭到入侵,你生活的其他方面也会受到干扰。」

伴随着互联网汽车功能不断强大,卡巴斯基研究人员认为控制这些功能的应用对锁定功能的需求将不断突显。卡巴斯基研究员 Mikhail Kuzin 表示:「或许今天我们可以在不触发警报器的情况下打开车门,但是这些功能仅仅只是互联网汽车的开端。汽车制造商将会添加各种功能确保我们的生活更加便捷。为了应对未来的更多此类攻击,我们现在需要仔细考虑一下了。」

via wired

相关推荐
热点推荐

美军印太司令部的计划曝光!妄想让中国主动放弃统一?

环球时报评论
2021-03-03 20:17:06

LV草帽8200元无库存!网友:我们村卖5元,要多少有多少

娱人为乐
2021-03-04 06:26:07

解约之后,“小马云”做回范小勤

剥洋葱people
2021-03-03 21:51:32

首尔人口跌回1987年,专家警告:韩国或成“首个消失的国家”

海外网
2021-03-04 07:11:32

母亲嗜暴成性,女儿一番话令人毛骨悚然:对不起,你真的不配当妈

周冲的影像声色
2021-03-03 20:25:16

一群疯狗,正在围攻烈士的母亲

麦杰逊
2021-03-03 11:28:18

“女人给男人口的风险提示”|严肃谈性。

深度
2021-03-04 00:20:02

张文宏:全球疫情结束之日,便是危险降临我国之时 | 医脉3分钟

医脉通
2021-03-04 00:27:07

BBC的驻华记者刚刚干了一件丧心病狂的事情!

环球时报评论
2021-03-04 00:56:31

上海一女子花63万把健身课买到了2034年,现在后悔了起诉健身房想退钱

上观新闻
2021-03-02 21:28:17

货拉拉女孩跳车事件真相大白!司机被捕,竟有这么多人同情他?

無星记
2021-03-03 17:05:25

嫖娼时间太长,女子拒绝后遭到殴打并强行发生性关系,谁对谁错?

胡究法的如法炮制
2021-03-03 22:29:01

出手解救苏宁的不止深圳国资,还有张近东的哥哥张桂平

时代财经
2021-03-03 21:21:08

福原爱被曝离婚!疑似出轨照曝光,与神秘男子约会一整天同回公寓

会火
2021-03-03 16:05:20

河南985才女因佛祖托梦,执意出家为尼,年32岁被称最美尼姑

靓靓聊音乐
2021-03-03 21:14:15

高空抛物罪全国首案!江苏常州一女子扔菜刀获刑6个月

澎湃新闻
2021-03-02 13:39:00

美国商业巨头,向清华捐1亿美元,坦言世界的未来在中国

史海残云
2021-03-03 17:58:12

杜淳老婆忘了有镜头,坐沙发上谁注意她手在摸哪?难怪老公总不耐烦她!

八圈传播者
2021-03-03 19:43:06

恭喜!陈坤官宣新身份,喜迎老陈家小少爷出生,陈尊佑升级当哥哥

专属生活管家
2021-03-03 23:54:27

女孩货拉拉跳车案没有性侵,一场底层之间因百十元起内卷的悲剧!

杨文战律师
2021-03-03 20:05:10
2021-03-04 08:21:07

头条要闻

新疆皮山姑娘上了BBC"重磅调查" 外出务工被扭曲

头条要闻

新疆皮山姑娘上了BBC"重磅调查" 外出务工被扭曲

体育要闻

进决赛了!巴萨超燃逆转 对手崩溃痛哭

娱乐要闻

美少女!杨超越梳麻花辫嘟嘴卖萌

财经要闻

科技要闻

电动车热潮!就算老罗宣布造车,我都不奇怪

汽车要闻

首款纯电动轿跑SUV 沃尔沃发布C40 Recharge

态度原创

时尚
艺术
亲子
家居
公开课

出道4年2位顶流男友 这女人怎么那么厉害?

艺术要闻

安藤忠雄水之教堂复现

亲子要闻

父母心中的控制欲,是家庭最大的灾难

家居要闻

越南女儿送母亲190㎡小楼作礼物 红色外墙惹人注目

公开课

中国人最受不了的饮料,它排第一

×