A:“你的意思是你的無鑰匙進入車雖然發出了警報但仍然被盜了?”
B:“不,因為我的警報,我的車被偷了。” 這有意義嗎?如果您在調查第三方汽車警報時,會了解英國安全公司的調查結果。
簡而言之,在品牌熟悉的汽車中出現的第三方警報中發現了安全漏洞。是的,他們正在討論那些可以防止汽車被劫持的警報。他們可以選擇讓人從智能手機應用程序啟動汽車。你在想我們在想什麼嗎?智能手機app?使用不安全的警報應用程序,研究人員能夠:
(1)激活車警報
(2)解鎖車門
(3)啟動發動機
安全研究人員利用可以讓門打開的品牌(一個合適的諷刺)來奪取控制權。他們看到了兩種報警產品的一些弱點。其中包括汽車可以實時地定位,汽車類型可以識別,可以遠程啟動發動機,在某些情況下發動機可能被控制的調查結果。
請輸入圖片描述
該研究是由英國Pen Test Partners的BBC Click技術計劃開展的,旨在通過滲透測試和安全服務發現軟件缺陷。他們斥資5000美元購買並安裝汽車智能警報器。
BBC新聞的一段視頻顯示,有兩名黑客正在等待一輛被選中的被困汽車行動。黑車中的受害者不知道即將發生的事情。汽車恐慌警報響起,導致司機停車。然後,在受害者車後面的一輛小型車中,襲擊者下了車並控制了門鎖。
“下車。把鑰匙給我。”
該團隊聯繫了相關供應商,並給他們7天時間來刪除或修復易受攻擊的API。幸運的是,這些公司確實對曝光做出了回應,他們已經升級了安全性以消除這些缺陷。
其中一家公司的英國代表在大約48小時內做出回應,讓其他辦公室迅速採取行動。修復只在一夜之間, 同時另一家公司也進行了修復。
Pen Test Partners評估了供應商的反應,並表示“兩家供應商的反應實際上都非常好。他們承認,回應,立即採取行動並對其進行驗證。這對所有物聯網供應商來說都是一個教訓!”
“由於更多的東西是網絡可控的,安全性變得越來越重要。” Hackaday說。至於BBC讀者的回應,似乎有一個擁有汽車的細分市場並沒有對技術的進步留下深刻的印象。他們不僅不為所動,而且對依賴影響汽車功能的技術的增加感到遺憾。
一條評論是“任何軟件中都沒有’智能‘……它只不過是統計數據/概率。換句話說,在做出錯誤選擇之前,這是一個時間問題。”
另一條評論說,他希望自己可以購買汽車“沒有全部自動化。我不希望電腦為我打開雨刷,或者當我轉彎時改變車頭燈的角度,或者當我改變車道時向我發出嗶嗶聲。危險讓我分心,我在開車,我應該控制汽車。“
還有一個:“如果它[原文如此]連接到互聯網,無論是汽車還是核電站。我在一家涉及安全關鍵運輸基礎設施的公司工作,我們有一個嚴格的規則,運營設備永遠不會通過VPN還是其他安全技術連接到互聯網。“
其他評論表明,重點不應該放在軟件的脆弱性上,而應該放在產品發佈之前需要進行徹底的測試和調試。
一篇評論著眼於這種情況下公司迅速做出反應的方式。安全漏洞是數字生活的一個事實,所以只需處理它。關鍵焦點是“脆弱性披露和有效補救”,這是“信任的關鍵衡量標準”。該評論補充說,應該在7天內做出更多回應,而不是“害怕”!
閱讀更多 小明同學vvvvv 的文章
