Pen Test Partners的安全研究人员发现了通过移动应用程序管理的第三方汽车警报器中的漏洞。 据报道,安全漏洞影响了使用这些“智能”物联网(IoT)设备的约300万辆汽车。 这是您需要了解的有关这些漏洞的信息。
[相关新闻:Key Fob中的漏洞可以让黑客打开斯巴鲁汽车] 有哪些漏洞?
这些漏洞是管理智能警报功能的应用程序的应用程序编程接口(API)中的不安全直接对象引用(IDOR)。 当不安全的应用程序公开由该应用程序实现的内部组件的值,数据或引用时,就会发生IDOR。 例如,IDOR可以泄漏存储在应用程序后端的泄漏信息。
在智能警报的情况下,API中的IDOR无法正确验证对应用程序的请求。 影响智能警报的漏洞已向受影响的供应商披露并修复。
[阅读:您的汽车广播的信息太多了吗?] 漏洞的影响是什么?
根据研究人员的说法,API中的IDOR可以使黑客执行各种动作,其中许多实际上是智能警报器安全功能的一部分。 这些包括: 修改和覆盖参数(例如,个人身份信息,例如电子邮件地址和密码),以确定汽车的位置,窃取存储在应用程序中的数据,将用户锁定为无法访问警报并劫持注册到智能警报的帐户。 在行驶中停止汽车的发动机。 该功能包含在应用程序的API中或受其支持,这意味着一旦帐户被接管就可以执行此功能。 通过SOS功能监听驱动程序,该功能在使用SOS模式时启用了麦克风。 发送自定义或黑客指定的控制器局域网(CAN)消息,这意味着直接与连接到汽车主机的组件进行通信。 但是,此功能是特定于车辆的。
[趋势科技研究:高科技高速公路:针对互联网连接的运输系统的网络攻击] 这些漏洞对物联网(IoT)意味着什么?
通过专有应用破解智能汽车并不是什么新鲜事。 早在2015年,趋势科技自己对汽车黑客的研究表明,不安全的应用程序如何泄漏敏感信息,甚至使驾驶员无法访问该应用程序。 移动应用程序中还存在其他安全问题,这些问题可以使黑客窃取个人数据,非法访问汽车的主机,甚至劫持汽车。
[专家见解:了解互联汽车中的漏洞]
实际上,汽车黑客不再是概念证明。 随着汽车变得更加智能化(具有信息娱乐,Wi-Fi连接,无钥匙进入功能,甚至依靠互联网提高驾驶员安全性),其攻击面也越来越广。 一旦被利用,这些安全漏洞将使用户的数据隐私和人身安全受到威胁。
幸运的是,汽车制造商意识到了这些问题。 实际上,它们中的许多人,连同软件和第三方应用程序和服务提供商,都在主动采取措施迅速修补漏洞并采用业界最佳实践来进一步保护智能汽车。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢