駭客可解鎖車輛甚至啟動引擎
- 發佈時間:2015-08-10 01:31:07 來源:科技日報 責任編輯:羅伯特
要黑一輛通用汽車又有了新方法。研究人員Samy Kamkar展示了一種名為OwnStar的設備,其尺寸和路由器差不多大,只需簡單的向OnStar伺服器發送幾個特殊的數據包即可遠端控制用戶汽車,包括對汽車遠端定位、解鎖和啟動等。
該設備主要是通過劫持移動APP OnStar RemoteLink (OnStar公司出品的汽車輔助手機應用)的資訊,從而實現對通用汽車進行遠端控制。Kamkar在視頻中演示了攻擊細節:只要目標用戶在OwnStar設備周圍打開了RemoteLink移動應用程式,OwnStar就會劫持其上的通信,然後向手機端發送精心構造的數據包,以獲得更多的資訊,如地理位置、製造商、型號等。
值得一提的是,該設備必須依附在汽車車身上,和司機的手機保持足夠近的距離,以便通訊。隨後,這個盒子就能偽裝成汽車自己的系統,並且與OnStar應用做通訊,以獲取汽車的授權。攻擊者就可以利用授權證書模倣該應用,通過OnStar系統向汽車發出指令。
這種攻擊之所以可行,是因為OnStar應用不會檢查偽造的加密證書,讓OwnStar設備能夠偽造證書並且模倣汽車自己的系統。如果你嘗試在Chrome中做這樣的事情就會得到紅色警告,但因為OnStar沒有檢測證書,Kamkar所做的這個設備就能夠達到欺騙的目的。
OnStar,係通用汽車子公司,為通用提供車載安全和通訊服務。服務的涵蓋面非常廣,包括遠端故障診斷、應急服務、碰撞檢測和警報、道路救援、遠端解鎖、導航等。作為一項訂閱服務,目前OnStar在美國和中國有700萬訂閱用戶,而今年早前,用戶數量據説已經突破了10億。
對於通用公司而言,好消息是這個漏洞實際上可以通過升級Onstar應用來修復。所以這項漏洞和本週早前公佈的Chrysler攻擊不同,通過應用商店的更新推送就能完美解決,安全威脅大大降低。即便更新來得晚,通用的車主也沒必要太過擔心,這項攻擊需要物理硬體還要求物理訪問,對攻擊者而言難度其實也真是挺大的。(佳寧)
- 股票名稱 最新價 漲跌幅
