你可能對汽車作業系統漏洞感到很陌生。但這將會是我們要去習慣的事情。
在2014年的1月30日,BMW的ConnectedDrive系統出現數個安全性漏洞,讓小偷可以利用行動設備來打開車門和追蹤汽車數據,可以經由行動電話網路來影響傳輸路徑的安全性漏洞被揭露。這是在德國汽車俱樂部ADAC進行秘密評估時發現,被認為會影響全球220萬台BMW汽車。
根據ADAC的聲明,出現漏洞的車輛可能有數個功能會被濫用,像是遠端服務功能(遠端開鎖),透過即時交通資訊(RTTI)來追踪車輛目前的位置和車速,啟用和變更緊急呼叫功能的電話號碼,透過BMW ConnectedDrive商店內的BMW線上功能來閱讀電子郵件。
BMW迅速地回應此一發現,釋出了更新以解決這些問題。根據他們的新聞稿,一旦車輛連到BMW集團伺服器就會自動進行這項更新,也可以手動進行更新。聲明指出,他們所發表且會被自動更新的修補程式可以加強他們車輛的資料傳輸安全性,包括透過HTTPS來加密來自車輛的資料。關於實際的安全漏洞和修補程序等細節尚未被公佈。
(理論上)駭入聯網車輛?
我們在尚未知道漏洞實際如何被攻擊的細節前先不要做出結論。但BMW ConnectedDrive的安全性漏洞問題帶出幾個疑慮:
- 多久會自動連接BMW伺服器一次?
- HTTPS不是在從2010年就開始使用嗎?為什麼不將其用在透過ConnectedDrive(GSM)所發送的資料?什麼樣的資料可以透過自有GSM基地台而被攻擊者所竊取?
- HTTPS是指SSLv3或0/1.1/1.2?這是否代表之前的BMW集團伺服器沒有檢查?有可能讓惡意的「韌體」更新進入BMW汽車嗎?
- 如果更新是在背景執行,車主如何得知漏洞已經被修復?這是否代表車主無法掌控BMW系統所進行的更新?
找到這些問題的答案肯定有助於得知漏洞的嚴重程度。 繼續閱讀