讽刺!智能汽车警报器反被远程利用

作者:???深圳市网安计算机安全检测技术有限公司 2019/04/10 17:17:25 368次阅读 国际
文章来源:http://www.mottoin.com/detail/3852.html
XxICtwvQAf1A6r9WccbkMAz1AQqT3kl83AOBgF8A.png

? ? ? ?据外媒报道,两款颇受欢迎的智能汽车报警系统存在重大安全缺陷,这使得潜在的黑客能够跟踪车辆、打开车门,在某些情况下还能切断引擎。由Pandora和Viper开发的汽车警报系统很容易被远程利用,使潜在的攻击者能够劫持车辆并监视驾驶人员。

? ? ? ?本月初,网络安全研究人员公布了这些所谓“不可破解”的智能警报系统的安全状况,它们与供应商的说法严重不符。

? ? ? ?在用于控制Pandora和Viper(英国称为Clifford)开发的警报系统的智能手机应用程序中发现了可利用的软件漏洞,而Pandora和Viper是全球最受欢迎的两款智能汽车警报系统。Viper在SmartStart?声称旨在帮助客户“可以从几乎任何地方启动、控制和定位”他们的汽车,其智能手机应用程序已被下载超过300万次。

远程劫持汽车

? ? ? ?发现此漏洞的Pen Test Partners研究人员表示,“此漏洞是API中相对简单的不安全直接对象引用(IDOR)”,“通过篡改参数,可以更新帐户注册的电子邮件地址而无需身份验证,发送重置密码到修改后的地址(即攻击者更改的)并接管帐户。

UWseo37EieXB5yOhuPoAr1Hi4DZvjlMhftIqrgcb.png

更改密码

? ? ? ?正如Pen Test Partners的研究团队所发现的那样,该智能警报系统允许潜在的攻击者利用安全漏洞,导致车辆和车主的详细信息被盗,还会导致汽车解锁、警报关闭、车辆被跟踪、麦克风受损,以及防盗控制系统被劫持。在某些情况下,网络攻击还可能导致汽车引擎在使用过程中失灵,这可能导致严重的交通事故。具体如下:

实时定位汽车的地理位置;

识别车型和车主详细信息;

禁用警报器;

解锁汽车;

启用和禁用固定装置;

某些情况下,汽车引擎在行驶时可能会“熄火”;
通过麦克风“窥探”驾驶人员;

根据警报器的不同,也有可能使车辆失窃。

? ? ? ?研究人员还表示,他们测试的一些智能警报器能够使用麦克风窃听所有对话,这样犯罪分子也可以窥探数百万汽车的车主隐私。更糟糕的是,汽车警报API中发现的缺陷还会暴露大量的个人身份信息。

易受黑客攻击的汽车软件

? ? ? ?汽车制造商添加的内置软件或智能手机软件的安全漏洞被攻击者恶意利用,这不是第一次发生,也绝不会是最后一次。

? ? ? ?例如,特斯拉的电动汽车在2016年被发现易受攻击,攻击者通过恶意软件感染车主的Android智能手机,随后使用它来控制特斯拉汽车。

? ? ? ?2017年10月,一名电子产品设计师发现了数款斯巴鲁车型的密钥卡系统存在安全漏洞,该问题可能被滥用于劫持客户的汽车,而该汽车制造商在联系时拒绝进行修补。

? ? ? ?2018年4月,一家荷兰网络安全公司发现一些大众汽车使用的车载信息娱乐系统(IVI)暴露于远程黑客攻击。

价值巨大,漏洞急需修复

fmq6b1ooUGrALbFUBcq4oP8tpTdgMAZKalzUmvo7.png

? ? ? ? Pandora号称“不可破解”,而如今该声明已从其网站上删除

????????Pen Test Partners已经向两家制造商通报了易受攻击的智能汽车警报系统漏洞,建议其在7天内解决安全问题,因为犯罪分子已经意识到并且可能已在野外利用它们的可能性很高。Pandora和Viper都对此迅速回应并进行修补,比研究人员预期的要快得多。

? ? ? ?Pen Test Partners的安全研究人员也指出这两家厂商无意中暴露了约300万汽车,使车主处于风险之中。据保守估计,这些汽车的总价值约1500亿。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室