卡巴斯基实验室研究人员对来自多家知名汽车制造商的远程控制汽车的应用进行了分析
卡巴斯基实验室研究人员对来自多家知名汽车制造商的远程控制汽车的应用进行了分析。结果发现,所有这些应用多包含一定数量的安全问题,能够被网络罪犯潜在利用,给联网汽车驾驶人造成严重危害。
过去几年,汽车开始连接互联网。这种互联性不仅包括信息娱乐系统,还包括关键车辆系统,例如汽车的车门锁以及点火系统,都可以在线访问。利用移动应用,可以获取车辆的位置信息以及车辆的行驶路线,还可以开启车门,启动引擎,控制其它车内设备。一方面,这些功能非常实用,但另一方面,汽车生产商如何确保这些应用抵御网络攻击风险?
为了验证,卡巴斯基实验室的研究人员对多家大型汽车制造商开发的七款汽车远程控制应用进行了测试。根据Google Play的统计数据,这些应用的下载量超过数十万,有些甚至达到500万次。研究发现,所有这些应用中都包含多个安全问题。
发现的安全问题包括:
- 没有采取措施预防应用逆向工程。从而导致恶意用户能够了解应用的工作原理,发现漏洞,让网络罪犯访问远程服务器基础设施,或者访问汽车的多媒体系统。
- 没有代码完整性检查,这一点非常重要。因为如果没有这种机制,网络罪犯就可以将自己的代码植入这种应用,或者使用假冒应用冒充汽车控制应用。
- 没有使用root检测技术。Root权限能够让木马获得几乎所有功能,让应用彻底失去防御。
- 缺少针对应用覆盖技术的保护。应用覆盖技术能够让恶意应用显示钓鱼窗口,窃取用户的登陆凭证。
- 明文存储登录信息和密码。利用这种漏洞,网络罪犯很容易窃取到用户的数据。
成功利用漏洞后,攻击者能够控制车辆,解锁车门,关闭警报,从而窃取车辆。
每次攻击中,都需要做一些额外的准备,例如吸引应用使用者下载特殊定制的恶意应用,从而root设备,获得权限访问汽车控制应用。但是,根据卡巴斯基实验室专家对多个其它针对在线银行登陆凭证和其它重要信息进行攻击的恶意程序进行研究,发现这些准备工作对于精通社交工程技巧的网络罪犯来说,根本不是问题。所以,一旦他们决定攻击联网汽车,轻而易举。
“我们研究的主要结论是在当前环境下,适用于联网汽车的应用还没有做好准备应对恶意软件攻击。在考虑联网汽车的安全性时,不仅要考虑服务器端基础设施的安全。我们预测,汽车制造商可能还要走银行在应用方面遭遇的老路。最初,在线一行应用也不具备上述列表中的安全功能。但是,这些银行应用在遭受多次攻击后,很多银行提升了自己产品的安全性。幸运的是,现在,我们还没有发现有针对汽车应用的攻击,这表示汽车制造商还有时间纠正这些问题。具体还有多少时间,目前还无法得知。当今的木马非常灵活,今天它们可能表现的像是普通广告软件,第二天就可能下载新的配置,从而对新的应用进行攻击。攻击面非常广泛,”卡巴斯基实验室安全专家Victor Chebyshev说。
卡巴斯基实验室研究人员建议联网汽车应用用户采取以下措施保护自己的车辆和隐私数据安全,抵御可能发生的网络攻击:
- 不要root你的安卓设备,因为这样会让恶意应用获得几乎不受限制的权限
- 关闭从其它应用源安装应用的功能,只能从官方的应用商店安装应用
- 保持设备的操作系统更新,减少软件中的漏洞,降低遭受攻击的风险
- 安装可靠的安全解决方案,保护设备,抵御网络攻击。
想要了解更多有关联网汽车威胁的详情,请浏览Securelist.com上的相关博文。