天创培训:您身边的信息安全培训专家!
行业动态
卡巴斯基爆多款汽车app安全漏洞,所谓远程控制不过是黑客砧板上的鱼肉

在如今这样一个智能网联汽车时代,各大汽车制造商和第三方公司都致力于为广大车主提供更加丰富的远程控制功能,很多汽车都已经实现了手机远程开锁落锁,汽车定位以及远程启动车辆等一系列炫酷的功能。但是当车主的手机不幸“中招”被黑时,这些功能也就相应地落入了黑客的手里。
卡巴斯基爆多款汽车app安全漏洞,所谓远程控制不过是黑客砧板上的鱼肉
杀毒大厂卡巴斯基近期测试了多家主机厂的远程控制app的安全性,测试结果显示,目前市面上大多数远程控制app居然连最基础的软件防护和安全保障都不具备,这就意味着通过root用户的手机端或者诱导用户下载安装恶意程序,黑客可以很轻易地利用这些远程控制app窃取用户个人信息及车辆的控制权,从而控制车辆开锁落锁,甚至启动引擎。
目前卡巴斯基并没有透露这些app的具体信息,但表示会向汽车业界所有的相关厂商强调未来重视网联汽车安全的重要性。同样是app,一位来自卡巴斯基的研究人员Viktor Chebyshev表示,目前银行理财类产品的客户端有着很高的安全性,网联汽车的app同样需要如此。
在此次测试中最糟糕的一种情形是,黑客入侵车辆并远程启动车辆,这种情况下不需要车钥匙的识别而且车辆防盗器也无法识别状况,车辆就这么被黑客远程开走了(类似Tesla不需要车钥匙,允许车主通过手机启动车辆的情形,尽管特斯拉并不在本次测试范围之内)。
万幸的是,上述情形只适用于具备手机app远程控制功能的车型,而且目前也没有发现Android平台上有相关的恶意软件。不过黑市论坛上已经有叫卖车主隐私信息的卖家了,包括用户名及登录密码,车型及车辆识别码,PIN码等信息,一个账户的价格在数百美元。这就意味着黑客和网络罪犯们并没有闲着,未来网联汽车安全的潜在威胁很大。
卡巴斯基爆多款汽车app安全漏洞,所谓远程控制不过是黑客砧板上的鱼肉
卡巴斯基爆多款汽车app安全漏洞,所谓远程控制不过是黑客砧板上的鱼肉
某黑客论坛发布的兜售车主隐私信息的交易帖
卡巴斯基根据此次所测试的app (均为Android,iOS相对来说比较难黑),大致解释了黑客常用的三种窃取车主信息的手段。因为目前基本上所有类似的远程控制app的车主个人隐私信息都在不加密的状态下简单地储存在车主的手机中,对此,黑客可以通过root用户手机,作为根用户直接将用户信息发送到后台主机。或者可以诱导用户下载恶意程序,窃取登录信息。亦或可以通过其他恶意软件进行“覆盖”攻击,在用户启动app的同时创立一个伪造的登录界面诱导用户登录,从而窃取信息,此时黑客亦可以进行多重覆盖攻击,理论上可以窃取用户其余所有的个人信息。
需要指出的是,上述所有问题并不是安全漏洞,而是实实在在的缺乏安全保障。远程控制app应该引入多重身份验证,指纹验证或者后台联合验证机制来防止黑客通过恶意代码诱导等手段进行攻击,同时车主信息应当进行加密或分散保存,从而真正提高使用安全性。当然,目前来看这还有很长的路要走。 
网联汽车安全保障缺失的问题已经不是第一次被提及了,也并不仅仅是Android平台。早在2015年,安全大神Samy Kamkar就向公众演示了通过在车内安置一个小硬件来入侵车辆的远程控制app(iOS)的手法,实现车主信息窃取及车辆控制权窃取。通用安吉星,克莱斯勒UConnect,奔驰MBrace和宝马Remote均惨遭被黑。 
毫无疑问,随着车主通过手机远程控制功能更加丰富,安全风险也必然随着陡增。主机厂们必须尽快认清并面对这一现实。