设为首页  加入收藏  联系我们  邮箱登录  通行证登录  宽频版  网站地图

黑客可解锁车辆甚至启动引擎

//www.workercn.cn 2015-08-10 08:04:56 来源:科技日报 

  要黑一辆通用汽车又有了新方法。研究人员Samy Kamkar展示了一种名为OwnStar的设备,其尺寸和路由器差不多大,只需简单的向OnStar服务器发送几个特殊的数据包即可远程控制用户汽车,包括对汽车远程定位、解锁和启动等。

  该设备主要是通过劫持移动APP OnStar RemoteLink (OnStar公司出品的汽车辅助手机应用)的信息,从而实现对通用汽车进行远程控制。Kamkar在视频中演示了攻击细节:只要目标用户在OwnStar设备周围打开了RemoteLink移动应用程序,OwnStar就会劫持其上的通信,然后向手机端发送精心构造的数据包,以获得更多的信息,如地理位置、制造商、型号等。

  值得一提的是,该设备必须依附在汽车车身上,和司机的手机保持足够近的距离,以便通讯。随后,这个盒子就能伪装成汽车自己的系统,并且与OnStar应用做通讯,以获取汽车的授权。攻击者就可以利用授权证书模仿该应用,通过OnStar系统向汽车发出指令。

  这种攻击之所以可行,是因为OnStar应用不会检查伪造的加密证书,让OwnStar设备能够伪造证书并且模仿汽车自己的系统。如果你尝试在Chrome中做这样的事情就会得到红色警告,但因为OnStar没有检测证书,Kamkar所做的这个设备就能够达到欺骗的目的。

  OnStar,系通用汽车子公司,为通用提供车载安全和通讯服务。服务的涵盖面非常广,包括远程故障诊断、应急服务、碰撞检测和警报、道路救援、远程解锁、导航等。作为一项订阅服务,目前OnStar在美国和中国有700万订阅用户,而今年早前,用户数量据说已经突破了10亿。

  对于通用公司而言,好消息是这个漏洞实际上可以通过升级Onstar应用来修复。所以这项漏洞和本周早前公布的Chrysler攻击不同,通过应用商店的更新推送就能完美解决,安全威胁大大降低。即便更新来得晚,通用的车主也没必要太过担心,这项攻击需要物理硬件还要求物理访问,对攻击者而言难度其实也真是挺大的。(佳宁)

编辑: 高斌

京ICP证100580号 | 互联网新闻信息服务许可证 (1012009003) | 京公网安备110401200155 | 中国互联网视听节目服务自律公约
广播电视节目制作经营许可证(广媒)字第185号 | 信息网络传播视听节目许可证(0111630)
关于我们 | 广告服务 | 联系我们 | 本站地图 | 投稿邮箱 | 版权声明
Copyright ? 2008-2012 by www.workercn.cn. all rights reserved