卡巴斯基实验室研究人员分析了13款来自全球家用制造商开发的汽车共享应用的安全性,包括来自俄罗斯、美国和欧洲的制造商开发的应用。
卡巴斯基实验室研究人员分析了13款来自全球家用制造商开发的汽车共享应用的安全性,包括来自俄罗斯、美国和欧洲的制造商开发的应用。公司的专家发现所有应用都包含一些安全问题,能够让网络罪犯通过隐身或其他用户的幌子控制共享车辆。一旦通过应用获得访问权限,网络罪犯几乎可以为所欲为——从窃取车辆到获取车辆详情,从破坏车辆到将其用于恶意目的。
应用的设计初衷是让我们的生活和交易更为便捷。随着“共享”应用的出现,这一概念又向前迈进了一步,这些应用可以实现从食品派送到出租车和汽车共享等的各种更具成本效益的服务方式。但是,虽然汽车共享应用对于低收入的人来说非常宝贵,并且可以消除任何超额支付的车辆所有权或维护费用,但这些应用也会给制造商和用户带来额外的安全风险。
为了了解这一问题的严重程度,卡巴斯基实验室研究人员测试了13款来自不同市场的由主要制造商开发的汽车共享应用。根据Google Play统计数据,这些应用的下载量已经超过100万次。研究发现,每一款测试的应用都包含多个安全问题。不仅如此,研究人员发现恶意用户已经在利用被盗的汽车共享应用账户赚钱。
发现的安全漏洞包括:
- 没有针对中间人攻击的防御措施。这意味着当用户认为自己连接到的是合法网站时,流量其实已经被重定向到攻击者的网站,从而让攻击者可以收集受害者输入的任何个人数据(登录名、密码和PIN码等)
- 无法防范应用程序逆向工程。 因此,网络罪犯可以了解应用程序的工作方式,并找到漏洞,从而让攻击者可以获取到对服务器端基础设施的访问
- 没有root检测机制。Root权限能够让恶意用户获得几乎无尽的功能,从而让应用变得毫无防备
- 缺乏对app覆盖技术的保护。这有助于恶意应用显示钓鱼窗口,窃取用户的凭证
- 只有不到一半的应用会要求用户使用高强度密码,这意味着网络罪犯可以通过简单的暴力破解方式攻击受害者。
成功利用漏洞后,攻击者能够偷偷获取汽车的控制权,用于恶意目的——从免费使用到监控用户,从窃取车辆到窃取车辆详情,甚至出现更严重的情况,例如窃取用户的个人数据并在黑市上销售以获得收益。还可能导致罪犯假借他人的身份上路并进行非法和危险的行动。
“我们的研究得出结论,在当前状态下,汽车共享应用服务尚未准备好应对恶意软件攻击。虽然我们尚未发现任何针对汽车共享服务的复杂攻击案例,但网络罪犯了解此类应用程序所具有的价值,而黑市上贩卖相关服务的现象表明一个事实,即供应商没有太多时间来消除这些漏洞,”卡巴斯基实验室安全专家Victor Chebyshev说。
卡巴斯基实验室建议汽车共享应用用户采取以下措施来保护自己的汽车和隐私数据,避免遭受网络攻击:
- 不要root您的安卓设备,因为这样做就会给恶意应用开启几乎无限制的功能
- 保持设备的操作系统版本更新,减少软件中的漏洞,降低遭遇攻击的风险
- 在设备上安装经过验证的安全解决方案,保护您的设备抵御网络攻击。
想要了解更多有关汽车共享相关风险,请阅读我们在Securelist.com上的相关博文。
