身處網路時代,許多車廠紛紛推出可利用應用程式開車門、發動車子的無鑰匙便利工具,看似走在科技尖端,實際上卻隱藏許多我們看不到的漏洞,卡巴斯基實驗室公布一個車用安全性報告,希望可以敲響汽車業者的警鐘,正視系統安全層面的問題。
卡巴斯基實驗室公布車聯網實驗結果:普遍車用應用程式安全性堪憂

科技的發展都是為讓生活更便利進步,在過去幾年裡面車聯網概念急遽發展,在今年於舊金山舉行的 RSA 會議中,兩位卡巴斯基研究員展示了對於目前市面上七款流行車用控制應用程式進行研究,這些應用程式允許車主利用 Android 裝置連接到汽車,使生活更便利,但是否思考一個問題:這些行為在方便之餘是否兼顧安全性?
卡巴斯基實驗室公布車聯網實驗結果:普遍車用應用程式安全性堪憂

這些應用程式主要功能在於開車門與啟動汽車,部性的事在這些應用程式中存在的缺陷可能被惡意攻擊者利用,在成功利用後,攻擊者可以獲得對汽車的控制、解鎖車門、關閉安全警報並偷車:
1. 沒有對應逆向破解者的保護
因此惡意軟體可以深入並找到漏洞,藉以訪問伺服器端的基本設施或汽車的多媒體系統。
2. 沒有程式碼完整性檢查
這點幾乎是允許惡意使用者在應用程式中默默加入自己的程式碼,藉以添加惡意程式,並且在使用者的設備上用虛假的程式替換掉原本的程式。
3. 沒有對於 Root 的檢測技術
Root 權限的開啟幾乎是為木馬程式提供無盡的能力,讓應用程式無力招架。
4. 缺乏對疊加技術的保護
這點允許惡意應用程式在原始應用程式的畫面上顯示虛假釣魚畫面,欺騙使用者輸入帳號密碼憑證,然後送出給惡意第三人。
5. 利用純文字格式儲存帳號和密碼
利用這個弱點,惡意人士可以相對更容易地竊取使用者數據。
卡巴斯基實驗室公布車聯網實驗結果:普遍車用應用程式安全性堪憂

雖然目前還沒有駭客利用這些點針對汽車進行攻擊與入侵,但這不管對使用者或是車廠都是一個警訊,對於應用程式我們都抱持著相信的基礎在安裝使用,卻鮮少進一步思考其他層面的安全性,對於金融相關因為牽涉到金錢所以我們格外敏感,但在車用或一般家庭用方面卻容易因為是「東西」而降低警覺心,在開發速度的追求之外,似乎更應該將努力放在安全性的強化上。
【卡巴斯基報告英文原文,點這裡】

閱讀全文