Android應用被黑，數百萬汽車面臨被盜風險

在車聯網時代，汽車製造商和第三方開發商競相將智能手機演變成遙控器，允許駕駛員通過手機來實現車輛定位、開鎖/解鎖等功能，甚至於部分應用能夠實現《霹靂遊俠》中的場景——召喚汽車或者卡車到身邊。

但在提供便攜的同時智能手機也存在被黑客入侵的風險，一旦手機被黑那麼所有通過網路控制的互聯網汽車功能就落入了黑客的的掌控中。

而且近日公布的調查結果表明，這種擔憂是完全存在的。近日，俄羅斯安全公司卡巴斯基的一組研究人員對 9 輛互聯網汽車的 Android 應用（來自 7 家公司）進行了測試，這些應用的下載量已經超過幾十萬，甚至部分應用超過了 100 萬，但是他們卻發現這些應用連最基礎的軟體保護都沒有提供，更談何說幫助車主保護這個重要的寶貴財產之一。

研究人員表示，通過 Root 目標設備獲得欺騙用戶安裝惡意代碼，黑客能夠使用卡巴斯基所測試的所有 7 款應用來定位車輛位置，解鎖車門，甚至能夠在某種情況下點火啟動。

為了避免那些偷車賊利用這些信息進行犯罪，目前研究人員拒絕提供關於測試應用的詳細名稱。不過，他們認為應該向汽車行業發出警告，要求汽車製造商更加謹慎的對待安全問題。

卡巴斯基的安全研究員 Viktor Chebyshev 說道：「為何互聯網汽車應用開發者對於安全的關注度要高於銀行應用的開發者？他們都能幫助用戶控制各種有價值的東西，但是他們往往不會對安全機制進行過多的思考。」

研究人員發現最糟糕的攻擊行為是，允許黑客進入到鎖定車輛的內部；通過仿製鑰匙或則禁用車輛的防盜器等額外手段，偷車賊能夠產生更嚴重的後果。研究人員指出儘管並未納入到本次的測試中，但是特斯拉的汽車允許通過智能手機應用啟動駕駛，一旦智能手機被入侵將會產生更嚴重的損失。

儘管對應用的多處漏洞都進行了較為全面的分析，但在測試過程中只隨機利用其中一個漏洞對受影響車型發起攻擊。而且研究人員表示目前尚未發現有 Android 惡意軟體激活使用他們所描述的攻擊手段。

不過他們仍然認為，只是單單查看應用的代碼腳本，偷車賊都可能知道利用這些漏洞和功能，而且他們還指出來自黑客論壇的有限證據已經表示在這種攻擊已經在黑市上引起了注意和興趣。

根據論壇帖子的截圖（下方）顯示，已經存在關於互聯網汽車憑證的交易信息，其中包含面向不同市場和不同車型的用戶名稱、密碼、PIN 碼和車輛識別號碼（VIN）信息。每個賬戶的行情售價為數百美元。Chebyshev 表示：「網路犯罪分子現在已經瞄準了這些攻擊。」

卡巴斯基研究人員概述了測試 Android 應用過程中使用到的三項技術。（iOS 通常被認為更難入侵）。在本次測試中除了其中一款外，所有應用中的用戶名或密碼都以未加密形式存儲在手機中，有些應用甚至兩個都沒有進行加密。通過 root（利用漏洞獲得設備操作系統的所有許可權）受害人的手機，黑客訪問存儲在本地的登陸信息，並將其發送至他或者她的命令及控制伺服器上。

第二種，安全研究人員認為黑客會欺騙車主下載安裝安裝包含惡意程序的修改版互聯網汽車應用，從而獲取登陸細節。第三種，偷車賊可能通過目標設備感染可執行「overlay」攻擊的惡意程序：一旦車輛應用打開，惡意程序就會自動載入並用虛假的介面進行替代，從而竊取和轉移用戶憑證。黑客甚至可以載入包含多個 overlays 的惡意程序，從而欺騙受害者已經完成了所有的互聯網汽車連接。Chebyshev 說：「如果我是攻擊者，我將 overlays 所有互聯網汽車應用，並只竊取所有應用程序的憑證。」

卡巴斯基的研究人員表示，他們已經向數家存在安全隱患的汽車製造商進行報告，目前依然還在通知其他車商。但他們同時也注意到，他們所指出的問題並不僅僅只是安全 BUG，而是缺乏行之有效的安全保障。對存儲在設備上的憑證進行加密或者 Hashing，增加雙因素認證或者指紋識別、創建完整性檢查確保應用不被惡意程序所修改等方式，都能大大改善這個問題。

事實上，這並非是首次關於互聯網汽車應用程序缺乏保護措施的報道，而且也不完全局限於 Android 操作系統。安全專家 Samy Kamkar 在 2015 年就曾展示，利用隱藏在汽車上的一小塊硬體，能夠無線截取通用 Onstar、克萊斯勒的 UConnect，梅賽德斯賓士的 mbrace 和寶馬的 Remote 等 iOS 應用的憑證。Kamkar 的攻擊還能允許對這些車輛進行遠程定位、解鎖，甚至在某些情況下點火啟動。

相比較卡巴斯基和他的攻擊手段，Kamkar 表示：「其中不會有任何警告：你的憑證被黑客竊取或重複的使用，不會收到任何手機通知。但有趣的是，一旦你的手機遭到入侵，你生活的其他方面也會受到干擾。」

伴隨著互聯網汽車功能不斷強大，卡巴斯基研究人員認為控制這些功能的應用對鎖定功能的需求將不斷突顯。卡巴斯基研究員 Mikhail Kuzin 表示：「或許今天我們可以在不觸發警報器的情況下打開車門，但是這些功能僅僅只是互聯網汽車的開端。汽車製造商將會添加各種功能確保我們的生活更加便捷。為了應對未來的更多此類攻擊，我們現在需要仔細考慮一下了。」

viawired

雷鋒網版權文章，未經授權禁止轉載。詳情見轉載須知。