卡巴斯基实验室研究人员对来自多家知名汽车制造商的远程控制汽车的应用进行了分析。结果发现,所有这些应用多包含一定数量的安全问题,能够被网络罪犯潜在利用,给联网汽车驾驶人造成严重危害。
过去几年,汽车开始连接互联网。这种互联性不仅包括信息娱乐系统,还包括关键车辆系统,例如汽车的车门锁以及点火系统,都可以在线访问。利用移动应用,可以获取车辆的位置信息以及车辆的行驶路线,还可以开启车门,启动引擎,控制其它车内设备。一方面,这些功能非常实用,但另一方面,汽车生产商如何确保这些应用抵御网络攻击风险?
为了验证,卡巴斯基实验室的研究人员对多家大型汽车制造商开发的七款汽车远程控制应用进行了测试。根据Google Play的统计数据,这些应用的下载量超过数十万,有些甚至达到500万次。研究发现,所有这些应用中都包含多个安全问题。
发现的安全问题包括:
成功利用漏洞后,攻击者能够控制车辆,解锁车门,关闭警报,从而窃取车辆。
每次攻击中,都需要做一些额外的准备,例如吸引应用使用者下载特殊定制的恶意应用,从而root设备,获得权限访问汽车控制应用。但是,根据卡巴斯基实验室专家对多个其它针对在线银行登陆凭证和其它重要信息进行攻击的恶意程序进行研究,发现这些准备工作对于精通社交工程技巧的网络罪犯来说,根本不是问题。所以,一旦他们决定攻击联网汽车,轻而易举。
“我们研究的主要结论是在当前环境下,适用于联网汽车的应用还没有做好准备应对恶意软件攻击。在考虑联网汽车的安全性时,不仅要考虑服务器端基础设施的安全。我们预测,汽车制造商可能还要走银行在应用方面遭遇的老路。最初,在线一行应用也不具备上述列表中的安全功能。但是,这些银行应用在遭受多次攻击后,很多银行提升了自己产品的安全性。幸运的是,现在,我们还没有发现有针对汽车应用的攻击,这表示汽车制造商还有时间纠正这些问题。具体还有多少时间,目前还无法得知。当今的木马非常灵活,今天它们可能表现的像是普通广告软件,第二天就可能下载新的配置,从而对新的应用进行攻击。攻击面非常广泛,”卡巴斯基实验室安全专家Victor Chebyshev说。
卡巴斯基实验室研究人员建议联网汽车应用用户采取以下措施保护自己的车辆和隐私数据安全,抵御可能发生的网络攻击:
想要了解更多有关联网汽车威胁的详情,请浏览Securelist.com上的相关博文。