卡巴斯基：7款常見連網汽車App安全堪慮，甚至恐遭遠端開門或啟動

隨著汽車業掀起智慧化浪潮，愈來愈多車子搭載資訊系統及app以提供音樂、地圖、影片播放等功能。但本周在RSA安全會議上公佈的一項安全研究顯示數款主要知名品牌車輛的Android app有多種安全疑慮。

卡巴斯基兩位安全研究員Victor Chebyshev 與 Mikhail Kuzin蒐集了市面上最常見的7款車用Android app，這些App之中不乏下載次數動輒數十或百萬的熱門應用程式。在這項研究中，研究人員檢視的項目包括是否包含危險功能，導致車輛被竊或某功能被關閉／開啟、是否有防止逆向工程的機制、是否使用根目錄權限、有無保護app的GUI不被曝露、以及app是否檢查完整性，像是程式是不是遭到變更等。

經過分析，研究人員發現所有車輛App都可被用來遠端開啟車門、其中4款可被啟動引擎。另外，6項App用戶帳號都沒有加密，其中2款連密碼也曝光。更糟的是，程式碼混淆（obfuscation）、程式介面覆蓋（overlay protection）、根目錄權限使用偵測及app完整性的檢查等一般app會有的安全防護機制，所有7款app全部付之闕如。

7款受測汽車App安裝數量如下，App圖式遭安全研究員模糊化處理。

目前安全人員尚未發現有針對這些app的攻擊，而未發現有下載app組態檔的程式碼。但研究人員指出，現代木馬程式相當厲害，可能將app組態檔上傳給外部C&C伺服器，或刪改組態檔內容，要做壞事並不是什麼難事。例如車輛警報系統是透過簡訊指令操作，只要在用戶手機植入木馬程式後，搜尋手機內和汽車指令有關的簡訊，取得用戶電話及密碼，即能讓攻擊者遠端開啟車門。

研究人員指出，價值不斐的車子需要的安全防護不下於銀行帳號。現在車商及開發人員因應市場需求為車子加上嶄新的功能，卻忽略了連網汽車的安全性的考量不只有後端基礎架構及網路連線，前端app也是整體安全的一環。
研究人員並未公佈app的名稱，但已經向研究結果告知這些車商。

事實上，已經有眾多研究人員示範，可以利用惡意程式駭入汽車，造成車門開啟、行進間打滑，甚至被當成跳板入侵家中智慧燈泡。