圖片來源: 

卡巴斯基

隨著汽車業掀起智慧化浪潮,愈來愈多車子搭載資訊系統及app以提供音樂、地圖、影片播放等功能。但本周在RSA安全會議上公佈的一項安全研究顯示數款主要知名品牌車輛的Android app有多種安全疑慮。

卡巴斯基兩位安全研究員Victor Chebyshev 與 Mikhail Kuzin蒐集了市面上最常見的7款車用Android app,這些App之中不乏下載次數動輒數十或百萬的熱門應用程式。在這項研究中,研究人員檢視的項目包括是否包含危險功能,導致車輛被竊或某功能被關閉/開啟、是否有防止逆向工程的機制、是否使用根目錄權限、有無保護app的GUI不被曝露、以及app是否檢查完整性,像是程式是不是遭到變更等。

經過分析,研究人員發現所有車輛App都可被用來遠端開啟車門、其中4款可被啟動引擎。另外,6項App用戶帳號都沒有加密,其中2款連密碼也曝光。更糟的是,程式碼混淆(obfuscation)、程式介面覆蓋(overlay protection)、根目錄權限使用偵測及app完整性的檢查等一般app會有的安全防護機制,所有7款app全部付之闕如。

7款受測汽車App安裝數量如下,App圖式遭安全研究員模糊化處理。

目前安全人員尚未發現有針對這些app的攻擊,而未發現有下載app組態檔的程式碼。但研究人員指出,現代木馬程式相當厲害,可能將app組態檔上傳給外部C&C伺服器,或刪改組態檔內容,要做壞事並不是什麼難事。例如車輛警報系統是透過簡訊指令操作,只要在用戶手機植入木馬程式後,搜尋手機內和汽車指令有關的簡訊,取得用戶電話及密碼,即能讓攻擊者遠端開啟車門。

研究人員指出,價值不斐的車子需要的安全防護不下於銀行帳號。現在車商及開發人員因應市場需求為車子加上嶄新的功能,卻忽略了連網汽車的安全性的考量不只有後端基礎架構及網路連線,前端app也是整體安全的一環。
研究人員並未公佈app的名稱,但已經向研究結果告知這些車商。

事實上,已經有眾多研究人員示範,可以利用惡意程式駭入汽車,造成車門開啟、行進間打滑,甚至被當成跳板入侵家中智慧燈泡。


Advertisement

更多 iThome相關內容