原标题:卡巴斯基:7款常见连网汽车App安全堪虑,甚至恐遭远端开门或启动
图片来源:卡巴斯基
随着汽车业掀起智慧化浪潮,愈来愈多车子搭载资讯系统及app以提供音乐、地图、影片播放等功能。但本周在RSA安全会议上公布的一项安全研究显示数款主要知名品牌车辆的Android app有多种安全疑虑。
卡巴斯基两位安全研究员Victor Chebyshev 与 Mikhail Kuzin蒐集了市面上最常见的7款车用Android app,这些App之中不乏下载次数动辄数十或百万的热门应用程式。在这项研究中,研究人员检视的项目包括是否包含危险功能,导致车辆被窃或某功能被关闭/开启、是否有防止逆向工程的机制、是否使用根目录权限、有无保护app的GUI不被曝露、以及app是否检查完整性,像是程式是不是遭到变更等。
经过分析,研究人员发现所有车辆App都可被用来远端开启车门、其中4款可被启动引擎。另外,6项App用户帐号都没有加密,其中2款连密码也曝光。更糟的是,程式码混淆(obfuscation)、程式介面覆盖(overlay protection)、根目录权限使用侦测及app完整性的检查等一般app会有的安全防护机制,所有7款app全部付之阙如。
7款受测汽车App安装数量如下,App图式遭安全研究员模糊化处理。
目前安全人员尚未发现有针对这些app的攻击,而未发现有下载app组态档的程式码。但研究人员指出,现代木马程式相当厉害,可能将app组态档上传给外部C C伺服器,或删改组态档内容,要做坏事并不是什幺难事。例如车辆警报系统是透过简讯指令操作,只要在用户手机植入木马程式后,搜寻手机内和汽车指令有关的简讯,取得用户电话及密码,即能让攻击者远端开启车门。
研究人员指出,价值不斐的车子需要的安全防护不下于银行帐号。现在车商及开发人员因应市场需求为车子加上崭新的功能,却忽略了连网汽车的安全性的考量不只有后端基础架构及网路连线,前端app也是整体安全的一环。研究人员并未公布app的名称,但已经向研究结果告知这些车商。
事实上,已经有众多研究人员示範,可以利用恶意程式骇入汽车,造成车门开启、行进间打滑,甚至被当成跳板入侵家中智慧灯泡。
相关:
德国主管机关今天禁止名为“我的朋友凯拉”这种可透过网络连接来跟儿童聊天的洋娃娃,并且警告它是1种事实上的“间谍装置”。法新社报道,职司对监视装置祭出禁令的德国联邦网络局敦促为人父母让这种互动玩具丧失功能
对不少人来说,买车是大事,然而,汽车失窃或车內零件遭窃盗事件时有所闻,统计显示,高达500万辆汽车车主无投保汽车车体损失险及汽车窃盗损失险。据內政部警政署统计,台湾平均每天发生12件汽车窃盗事件,以及802件
梁姓男子所驾驶汽车日前滑落新北市三芝后厝渔港。民众今天发现,港內海面不断冒出油污,向辖区警报案。警消获报派员赶抵,吊挂起汽车,调查后才发现虚惊一场。新北市淡水警分局今天表示,今天据报后厝渔港有油污,疑
Google将AI运用于Project Loon,让高空连网汽球克服风向、预测天气
Project Loon中的高空汽球自动昇空架。 图片来源: Google Google周四公布偏远地区连网计画Project Loon的最新技术进展。现在透过人工智慧(Artificial Intelligence)演算法,Google的高空汽球不但可以听指令航行、
承业医董事长李沛霖表示,今年预计将进入10年一期的医疗设备汰换期,加上近几年布局逐步进入收成期,对今年整体营运成长力道乐观期待,预估有机会超越2015年表现。李沛霖表示,集团积极朝既有业务扩大市占、精准医疗