Android應用被黑,數百萬汽車面臨被盜風險

2021-09-23 08:46:00 字數 2022 閱讀 8390

在車聯網時代,汽車製造商和第三方開發商競相將智慧型手機演變成遙控器,允許駕駛員通過手機來實現車輛定位、開鎖/解鎖等功能,甚至於部分應用能夠實現《霹靂遊俠》中的場景——召喚汽車或者卡車到身邊。

但在提供便攜的同時智慧型手機也存在被黑客入侵的風險,一旦手機被黑那麼所有通過網路控制的網際網路汽車功能就落入了黑客的的掌控中。

研究人員表示,通過 root 目標裝置獲得欺騙使用者安裝惡意**,黑客能夠使用卡巴斯基所測試的所有 7 款應用來定位車輛位置,解鎖車門,甚至能夠在某種情況下點火啟動。

為了避免那些偷車賊利用這些資訊進行犯罪,目前研究人員拒絕提供關於測試應用的詳細名稱。不過,他們認為應該向汽車行業發出警告,要求汽車製造商更加謹慎的對待安全問題。

卡巴斯基的安全研究員 viktor chebyshev 說道:「為何網際網路汽車應用開發者對於安全的關注度要高於銀行應用的開發者?他們都能幫助使用者控制各種有價值的東西,但是他們往往不會對安全機制進行過多的思考。」

研究人員發現最糟糕的攻擊行為是,允許黑客進入到鎖定車輛的內部;通過仿製鑰匙或則禁用車輛的防盜器等額外手段,偷車賊能夠產生更嚴重的後果。研究人員指出儘管並未納入到本次的測試中,但是特斯拉的汽車允許通過智慧型手機應用啟動駕駛,一旦智慧型手機被入侵將會產生更嚴重的損失。

儘管對應用的多處漏洞都進行了較為全面的分析,但在測試過程中只隨機利用其中乙個漏洞對受影響車型發起攻擊。而且研究人員表示目前尚未發現有 android 惡意軟體啟用使用他們所描述的攻擊手段。

不過他們仍然認為,只是單單檢視應用的**指令碼,偷車賊都可能知道利用這些漏洞和功能,而且他們還指出來自黑客論壇的有限證據已經表示在這種攻擊已經在黑市上引起了注意和興趣。

根據論壇帖子的截圖(下方)顯示,已經存在關於網際網路汽車憑證的交易資訊,其中包含面向不同市場和不同車型的使用者名稱、密碼、pin 碼和車輛識別號碼(vin)資訊。每個賬戶的**售價為數百美元。chebyshev 表示:「網路犯罪分子現在已經瞄準了這些攻擊。」

卡巴斯基研究人員概述了測試 android 應用過程中使用到的三項技術。(ios 通常被認為更難入侵)。在本次測試中除了其中一款外,所有應用中的使用者名稱或密碼都以未加密形式儲存在手機中,有些應用甚至兩個都沒有進行加密。通過 root(利用漏洞獲得裝置作業系統的所有許可權)受害人的手機,黑客訪問儲存在本地的登陸資訊,並將其傳送至他或者她的命令及控**務器上。

卡巴斯基的研究人員表示,他們已經向數家存在安全隱患的汽車製造商進行報告,目前依然還在通知其他車商。但他們同時也注意到,他們所指出的問題並不僅僅只是安全 bug,而是缺乏行之有效的安全保障。對儲存在裝置上的憑證進行加密或者 hashing,增加雙因素認證或者指紋識別、建立完整性檢查確保應用不被惡意程式所修改等方式,都能大大改善這個問題。

事實上,這並非是首次關於網際網路汽車應用程式缺乏保護措施的報道,而且也不完全侷限於 android 作業系統。安全專家 samy kamkar 在 2015 年就曾展示,利用隱藏在汽車上的一小塊硬體,能夠無線擷取通用 onstar、克萊斯勒的 uconnect,梅赫西迪賓士的 mbrace 和寶馬的 remote 等 ios 應用的憑證。kamkar 的攻擊還能允許對這些車輛進行遠端定位、解鎖,甚至在某些情況下點火啟動。

相比較卡巴斯基和他的攻擊手段,kamkar 表示:「其中不會有任何警告:你的憑證被黑客竊取或重複的使用,不會收到任何手機通知。但有趣的是,一旦你的手機遭到入侵,你生活的其他方面也會受到干擾。」

伴隨著網際網路汽車功能不斷強大,卡巴斯基研究人員認為控制這些功能的應用對鎖定功能的需求將不斷突顯。卡巴斯基研究員 mikhail kuzin 表示:「或許今天我們可以在不觸發警報器的情況下開啟車門,但是這些功能僅僅只是網際網路汽車的開端。汽車製造商將會新增各種功能確保我們的生活更加便捷。為了應對未來的更多此類攻擊,我們現在需要仔細考慮一下了。」

蕾娜塔•薩洛

雅虎廣告網路被黑,惡意廣告感染數百萬裝置

雅虎廣告網路已經被一夥攻擊者利用,在yahoo.com以及包括新聞 金融 體育 名人和遊戲等在內的雅虎子站中植入用於服務惡意軟體的廣告。攻擊者在廣告網路中發現乙個漏洞,並成功感染了數百萬人的電腦。angler exploit kit 安全研究人員透露,實施這次攻擊的黑客與之前利用adobe flas...

數百萬Exim郵件伺服器正在遭受攻擊

據安全研究人員稱,目前還有數百萬的exim郵件傳輸 mta 執行的是未公升級過的版本,所以這些郵件伺服器的攻擊面非常大,攻擊者可以很容易對這些老舊版本發起攻擊。自exim 4.90.1發布以來,exim更新版本已應用到linux發行版中,但網上那些未修復的系統仍是個問題。本次研究者發現,攻擊者在這些...

MySQL中每天處理數百萬條記錄,最佳方法實踐

最近一直在寫爬蟲,大概每天入庫資料量80w 100w,系統也因資料量大的變化受到一些影響 大概找了一些資料,對於mysql的效能優化,特此記錄 innodb buffer pool size thread cache size max connections query cahce innodb l...