原标题:研究:福斯与奥迪汽车含有远端存取漏洞,可让骇客窃听谈话、追踪车辆位置
图片来源:Computest
荷兰Computest的两名资安研究人员Daan△Keuper与Thijs△Alkemade日前公布了一项研究报告,指出福斯汽车(Volkswagen)旗下的Golf△GTE与Audi△A3 Sportback△e-tron所使用的车载资讯系统(In-Vehicle△Infotainment,IVI)含有安全漏洞,将允许骇客取得车上喇叭、麦克风,甚至是导航系统的控制权。
这两款车都是Computest员工自己的座车,皆于2015年出厂,也都使用了三星旗下Harman所开发的模组化车载资讯平台(Modular△Infotainment△Platform,MIP),Computest在数月前已向福斯通报相关漏洞,并已获得修补。
根据研究人员的分析,骇客可以利用远端或USB方式取得IVI系统的管理权限,因而得以控制车上的喇叭、麦克风与导航系统,可窃听驾驶人的谈话,存取通讯录或谈话纪录,还能知道驾驶人所去过的地方或是追踪驾驶人的所在位置。
Keuper则说,连网能力为现代化汽车的热门功能,但最大的问题在于这些深植于系统上的系统可能已经问世许多年,且鲜少被更新,若以一辆车18年的平均年限来看,骇客有好几年的开采机会。
上述漏洞听起来似乎不严重,最多只是侵犯了驾驶人的隐私,然而,Computest创办人Hartger△Ruijs表示,研究人员所存取的IVI系统可间接连结到车上控制系统,例如刹车或加速系统,只是他们没有继续深究。
Ruijs指出,若他们测试这些重要功能的安全漏洞,很可能是违法且侵犯了智慧财产权,他认为一个正当的骇客应该维持合理原则。
相关:
资安公司Checkmarx揭露,Amazon的语音助理Alexa存在隐私泄漏的漏洞,可让骇客在用户不知不觉的情况下监听使用者的日常对话,不过所幸的是,Amazon已经与Checkmarx合作,Alexa应用程序认证程序现在已经可以侦测并阻挡
?借由CVE-2018-10561,骇客只要在浏览器的网址列输入一道URL,后加入-images/,就能绕过所有验证机制。安全研究人员指出,这项攻击手法是利用装置验证时检查URL特定路径,因此不只对GPON路由器,对HTTP伺服器也有用。
九成SAP用户权限没关好!13年前问题设定恐让骇客任意存取App
安全服务业者Onapsis发现一项攸关资料外泄的SAP△系统设定,即使SAP△13年前已经发出警告,但至今仍有九成用户仍然未解决。本问题并非SAP产品的安全漏洞,而是一项系统设定,存在于SAP底层的NetWeaver中的SAP△Messa
最近一段时间,以公司名义买房的现象变得常见了起来,而且受到公司客户关注的项目多为高端项目。公司购房现象明显增多 记者在“上海公证协会”官网上发现,“翠湖天地隽荟都”商品住房销售摇号排序公示栏中,参与此次
署名XPN的骇客将CVE-2018-1038的攻击程式公布于GitHub上,声称为学习使用,并非让人用于攻击。 图片来源: GitHub Meltdown漏洞阴影久久不散。微软三月间修补Meltdown漏洞的程式引发新漏洞,现在有骇客将攻击程式码