汽车智能报警器的安全问题分析

$\"收藏此主题\"$

乔丹2003

0粉丝
1精华
700帖子

用户：乔丹2003
等级：Lv1
地区：

发表于 2019-06-20 18:58

| 只看楼主 | 申请车主认证 | 申请精华

您好，精华帖至少要有9张图片，文字不少100个字！并且是原创内容，布局合理。
查看精华帖标准>>

楼主电梯直达楼

对于不使用钥匙进入车辆内部的安全研究一直在持续着，许多汽车报警器厂商都在推销自己的产品。

经过我们的安全研究发现，安装这些报警器会增加车辆被劫持的风险，这些报警器可能会使车主被远程劫持，或者是在行驶时使汽车发动机停止，甚至车辆被偷。

在为我们的测试汽车上安装了几个主流高端智能报警器后，我们发现其中有几个报警系统中存在严重的安全漏洞，这些漏洞可以实现如下利用：

可以获取汽车的时地理位置
可以鉴别车型和车主的详细信息
可以禁用禁警报功能
将汽车车门解锁
启用和禁用防盗装置
在某些情况下，汽车引擎可能会在驾驶时被熄灭
其中一个报警器可以使司机被远程监视

这些报警器影响了全球多达300万辆汽车。

涉及漏洞的两家报警器供应商是Viper（英国的Clifford牌子）和Pandora，这两家是全球最大的汽车防盗牌子，漏洞是API中的不安全直接对象引用（IDOR）造成的，只需通过篡改参数，即可在未经身份验证的情况下更新注册到帐户的电子邮件地址，将密码重置为修改后的地址（即攻击者）并接管帐户。

可以对特定车辆进行地理定位和跟踪，然后使其停止并解锁车门，劫持汽车和司机将变得非常容易。