身處網路時代,許多車廠紛紛推出可利用應用程式開車門、發動車子的無鑰匙便利工具,看似走在科技尖端,實際上卻隱藏許多我們看不到的漏洞,卡巴斯基實驗室公布一個車用安全性報告,希望可以敲響汽車業者的警鐘,正視系統安全層面的問題。
這些應用程式主要功能在於開車門與啟動汽車,部性的事在這些應用程式中存在的缺陷可能被惡意攻擊者利用,在成功利用後,攻擊者可以獲得對汽車的控制、解鎖車門、關閉安全警報並偷車:
1. 沒有對應逆向破解者的保護
因此惡意軟體可以深入並找到漏洞,藉以訪問伺服器端的基本設施或汽車的多媒體系統。
2. 沒有程式碼完整性檢查
這點幾乎是允許惡意使用者在應用程式中默默加入自己的程式碼,藉以添加惡意程式,並且在使用者的設備上用虛假的程式替換掉原本的程式。
3. 沒有對於 Root 的檢測技術
Root 權限的開啟幾乎是為木馬程式提供無盡的能力,讓應用程式無力招架。
4. 缺乏對疊加技術的保護
這點允許惡意應用程式在原始應用程式的畫面上顯示虛假釣魚畫面,欺騙使用者輸入帳號密碼憑證,然後送出給惡意第三人。
5. 利用純文字格式儲存帳號和密碼
利用這個弱點,惡意人士可以相對更容易地竊取使用者數據。
雖然目前還沒有駭客利用這些點針對汽車進行攻擊與入侵,但這不管對使用者或是車廠都是一個警訊,對於應用程式我們都抱持著相信的基礎在安裝使用,卻鮮少進一步思考其他層面的安全性,對於金融相關因為牽涉到金錢所以我們格外敏感,但在車用或一般家庭用方面卻容易因為是「東西」而降低警覺心,在開發速度的追求之外,似乎更應該將努力放在安全性的強化上。
【卡巴斯基報告英文原文,點這裡】
