对于不使用钥匙进入车辆内部的安全研究一直在持续着,许多汽车报警器厂商都在推销自己的产品。 经过我们的安全研究发现,安装这些报警器会增加车辆被劫持的风险,这些报警器可能会使车主被远程劫持,或者是在行驶时使汽车发动机停止,甚至车辆被偷。 在为我们的测试汽车上安装了几个主流高端智能报警器后,我们发现其中有几个报警系统中存在严重的安全漏洞,这些漏洞可以实现如下利用: 可以获取汽车的时地理位置 可以鉴别车型和车主的详细信息 可以禁用禁警报功能 将汽车车门解锁 启用和禁用防盗装置 在某些情况下,汽车引擎可能会在驾驶时被熄灭 其中一个报警器可以使司机被远程监视 这些报警器影响了全球多达300万辆汽车。 涉及漏洞的两家报警器供应商是Viper(英国的Clifford牌子)和Pandora,这两家是全球最大的汽车防盗牌子,漏洞是API中的不安全直接对象引用(IDOR)造成的,只需通过篡改参数,即可在未经身份验证的情况下更新注册到帐户的电子邮件地址,将密码重置为修改后的地址(即攻击者)并接管帐户。 可以对特定车辆进行地理定位和跟踪,然后使其停止并解锁车门,劫持汽车和司机将变得非常容易。
如果你对以下车友回答满意,请设置一个推荐答案!
|