如今,越來越多的東西都聯網了,就連汽車也可以用智慧手機操作。定位、鎖車和解鎖,甚至讓汽車開到身邊,這些只要點擊手機即可完成。問題在於,這些聯網功能有可能被駭客利用。 近日,安全公司卡巴斯基測試了 7 家汽車公司的 9 款 Android 應用,發現了不小的問題。
這些應用的下載量最高達到 100 萬次,但是,多數應用缺乏最基本的安全措施。如果駭客取得手機的 root 許可權,或者欺騙用戶下載了惡意程式碼,那麼,他們能夠對汽車進行定位、解鎖,甚至能啟動汽車。
研究人員認為,這充分證明製造商應該更加重視聯網汽車的安全問題。“與銀行應用的開發者相比,聯網汽車的開發者對安全問題的重視不夠,這是為什麼呢?” 研究人員 Viktor Chevysev 接受 Wired 網站採訪時說,“他們同樣控制著用戶的貴重物品,但是,他們並沒有思考安全機制。”
此次分析主要針對應用本身。研究人員僅在一款車型上嘗試了駭客攻擊,而且,他們並未發現現存的惡意軟體。不過,通過對應用的代碼研究,研究人員已經可以瞭解盜賊可能使用的手法,同時,在一些駭客論壇上出現了關於買賣相關資料的帖子,證明駭客們對此已經有了興趣。
卡巴斯基的研究人員提出三種盜取使用者資訊的方法:一種是取得手機的 root 許可權,把使用者的登錄資訊發送到遠端伺服器上;一種是欺騙用戶下載修改後的 App,盜取使用者資訊;還有一種是在手機上植入惡意軟體,當汽車應用啟動時,惡意軟體會提供欺騙性的介面,盜取和上傳使用者的資訊。
目前,研究人員已經把這些問題告知汽車廠商。他們表示,這些並非安全性漏洞,而是安全措施的缺乏。為此,汽車應用要增加一些安全措施,比如加密使用者登錄資訊,添加二元認證或指紋認證,增加惡意軟體監測功能等。 隨著聯網汽車功能增多,安全需求必將變得更加重要。“汽車製造商會不斷添加新功能,使我們的生活更加方便。因此,要預防未來攻擊,我們現在就需要思考這個問題。” 研究員 Mikail Kuzin 表示。
題圖來自 v2gov