挪威app安全公司Promon的安全专家成功控制了一台特斯拉汽车,完全控制,包括找出车辆停放地点、打开车门和无钥匙启动。特斯拉智能手机app中安全的缺失为各种形式的漏洞利用敞开了大门。Promon的网络攻击,在之前9月底科恩(KEEN)安全实验室演示的黑客攻击的基础上,扩展了更多的功能和实用性。
Promon创始人兼CTO汤姆·莱斯莫斯·汉森称:“Keen安全实验室最近的研究,利用了特斯拉汽车CAN总线系统中的漏洞,让他们可以控制该车部分功能。我们的测试是将特斯拉app作为切入点的首次尝试,比他们的更进一步,暴露出被黑app能直接导致车辆被盗。”
该黑客攻击生效的方式之一,是在公共特斯拉充电桩之类的地方设置WiFi热点。只要特斯拉用户登录并访问网页,针对车主的广告就会浮现,用免费午餐或免费咖啡之类的诱惑车主去点击。一旦点击该链接,下载了随附的app,黑客就能访问用户的手机,攻击特斯拉app,获取到用户名和口令。
Promon列出了特斯拉app中存在的各种安全缺陷。
该攻击不特定于特斯拉一家,其通用形式可被用于任意app。然而,特斯拉app没有提供任何形式的防护措施来让攻击者耗费时间精力,几乎是一勾就走。
其中凸显的一个突出问题是:OAuth授权令牌竟然是明文存储的——明显没有任何加密措施来保护授权令牌。仅仅是获取到该小片数据这一条,就能得知车辆停放位置,追踪并解锁车辆。
把车开走还需要用户名和口令,但因该app对自身已被修改成带发送凭证到服务器的恶意软件类行为毫无所觉,攻击者获取用户名和口令也是轻而易举的事。
Promon表示:“如果特斯拉遵循最佳安全实践(比如像开放web应用安全项目建议的那样),包括在app内部应用自防护功能,那就需要更高的技术,投入更多的精力才能实施攻击。”Promon称与特斯拉进行了密切磋商以解决这些app安全问题。
特斯拉发言人称,“特斯拉从未收到过任何因app被黑而导致车辆被盗的报告”,并提供了以下声明。
该报告和视频并未证明任何特斯拉专属漏洞。该演示仅表明了绝大多数人直观感受到的事实——如果手机被黑,手机上的应用可能不再安全。研究人员展示了已知社会工程技术可被用于引诱人们在自己的安卓手机上安装恶意软件,侵入他们整个手机及机上所有app,当然,里面就包括了特斯拉app。特斯拉建议用户使用最新版本的手机操作系统。
app安全公司Veracode首席解决方案架构师约翰·史密斯评论道:“特斯拉刚刚修复了可致车辆被远程利用的漏洞,现在又曝出可致车辆被盗的新安全缺陷,凸显出汽车制造商们因在车中引入了联网服务而面临诸多安全风险和挑战。不安全的软件是目前汽车行业所面临的最严重问题之一。IDC最近的报告指出:车辆安全系统与黑客之间可能存在3年的时间差。
今天的联网汽车里运行着超过2亿行代码,更不用说与车辆相连的手机app了。汽车厂商将安全置于开发策略的中心位置,而不是事后后悔,这是十分必要的。
本文转自d1net(转载)