Pen Test Partners的資安研究人員發現由第三方行動應用程式管理汽車警報的漏洞。據報此漏洞影響到了約300萬輛使用這些智慧物聯網(IoT)裝置的汽車。以下是關於這些漏洞你所需要知道的資訊。
[相關新聞:晶片鑰匙漏洞讓駭客可以打開速霸陸汽車]
這些是什麼漏洞?
這些是管理智慧警報功能的應用程式API內的IDOR漏洞(insecure direct object reference)。當不安全應用程式暴露出對內部元件的數值、資料或引用時就可能發生。例如,IDOR漏洞可以洩漏儲存在應用程式後端的資訊。
在智慧警報案例中,API內的IDOR漏洞無法正確驗證對應用程式的請求。影響智慧警報的漏洞已經披露給受影響的廠商並加以修復。
[延伸閱讀:你的汽車正在資料大放送嗎?]
這些漏洞有什麼影響?
根據研究人員的說法,API內的IDOR漏洞可以讓駭客進行各種操作,其中有許多在實際上是智慧警報安全功能的一部分。這些包括:
- 修改和重寫參數(如電子郵件地址等個人識別資訊和密碼)來確認汽車位置、竊取儲存在應用程式內的資料、鎖住使用者無法使用警報功能以及劫持註冊智慧警報的帳號。
- 在行進間停止汽車引擎。應用程式API包含或支援此功能,代表可以在接管帳號後執行此功能。
- 透過SOS功能竊聽駕駛,因為使用SOS模式時會啟動麥克風。
- 發送客製化或駭客指定的控制器區域網路(CAN)訊息,這代表直接跟連接汽車主機的元件通訊。不過此功能只限定於特定汽車。
[趨勢科技研究:高科技高速公路:針對聯網運輸系統的網路攻擊]
這些漏洞對物聯網(IoT)來說代表什麼?
透過專有應用程式攻擊智慧汽車並不新鮮。早在2015年,趨勢科技自己的汽車駭客研究就展示過不安全的應用程式如何洩露敏感資訊,甚至可以鎖住駕駛無法使用應用程式。行動應用程式還存在著其他安全問題,可以讓駭客竊聽個人資料、非法連接汽車主機甚至是劫持汽車。
[專家見解:了解聯網汽車的漏洞]
確實,汽車駭客攻擊不再只是概念證明。隨著汽車變得更加智慧化,具備資訊娛樂系統、無線網路連接、無鑰匙開門等功能,甚至還有依賴網路的駕駛安全功能,受攻擊面也變得更廣。一但遭受攻擊,這些安全漏洞讓使用者的資料隱私和人身安全都處在危險之中。
幸運的是,汽車廠商也認識到這些問題。實際上,有許多車廠以及軟體和第三方應用程式及服務供應商都正在採取行動來主動修補漏洞並採用業界最佳實作來進一步防護智慧汽車。
@原文出處:Vulnerabilities in Smart Alarms Can Let Hackers Hijack Cars