返回新闻列表

互联汽车已成现实,安全与否值得深思

        互联汽车上的隐私、软件更新和相关移动应用是网络罪犯们攻击的目标。

        卡巴斯基实验室携手西班牙领先的市场与数字化媒体公司IAB发布了一项名为《首届年度互联汽车研究》的开创性研究报告。

        这项研究旨在展现互联汽车市场的概况,结合所有可用信息解答热点问题,且统一当前生产商提供的高度分散的软件生态系统。卡巴斯基实验室首席安全研究员Vicente Diaz负责开发概念验证系统,用以分析车网互联引发的安全问题。

        对于驾驶者而言,有关新一代“互联汽车”通讯与互联网服务的安全问题已不容忽视。它不仅可以帮助你安全停车,现在你还可以使用社交网络、电子邮件、智能机、日常计算、车载应用等功能。这些技术对驾驶者极为有益,但是也为目前用户带来新风险。这就是为何有必要分析可能造成网络攻击、事故、甚至汽车欺诈维修的不同原因。

        汽车隐私、更新与智能机软件可能成为网络犯罪发起攻击的三个独立目标。“互联汽车容易遭受PC和智能机世界中现存威胁的攻击。举例而言,互联汽车拥有者发现其密码被盗。而这会定位汽车位置,并远程将车门解锁。隐私问题至关重要,如今的汽车驾驶者须认识到这些前所未有的新兴威胁”,Diaz表示。

        卡巴斯基实验室的概念验证系统基于对宝马公司ConnectedDrive系统的分析,已发现若干潜在攻击点:

        窃取登录凭证:窃取登录凭证需要运用诸如网络钓鱼、键盘记录器或社交工程学等手段进入宝马公司网站,这样一来,未经授权的第三方便能获取用户信息,继而使用汽车。由此可知,安装一款具有相同登录凭证的移动软件,并在打开车门驱车离开之前开启远程服务已成为可能。

        移动应用:在移动远程开门服务被激活之后,你需要为你的车创建一组新密码。如果该应用未受到保护,任何人只要窃取你的手机就能接近这辆汽车。使用被窃手机可以更改数据库应用,并绕过任何PIN凭证。如此一来,网络攻击者就能轻而易举地激活远程服务。

        更新:更新蓝牙驱动需从宝马公司网站上下载文件,并使用USB安装。该文件往往并未被加密或签名,且包含很多汽车上运行着的内部系统信息。这些信息为潜在攻击者提供了接近目标环境的机会,还可能被篡改,用以运行恶意代码。

        通讯:一些功能需要通过SMS与汽车内置的SIM进行通讯。占用这一通讯渠道会根据操作者的加密级别发送“虚假”指令。在最糟糕的情况下,一名犯罪分子会使用自己的指令与服务替代宝马公司的通讯。

        这项研究还深入调查西班牙汽车业的在线连接与领先应用,并探讨该市场连接平台的商业模式与未来趋势。报告分析了21种不同的汽车模式,主要发现包括:

  • 操作系统、连接模式与应用均高度分散化。
  • 免费服务具有时限性:许多生产商仅在特定时间提供免费订阅服务。
  • 网络覆盖问题:很多在线服务需要连接3G网络。
  • 数据使用:某些用户将不得不支付额外的数据流量。
  • 语音助理:多数模式使用语音助理,因为它是控制连接最安全的方式之一。

        这项研究由卡巴斯基实验室携手IAB Spain、Applicantes和Motor.com共同完成。

关于IAB Spain

        IAB Spain(交互广告署)系西班牙广告、市场及数字化通讯公司协会。该协会拥有逾200位成员,占西班牙该领域的95%。IAB Spain是唯一一个涵盖媒体机构、数字机构、广告商、网站、社交媒体、博客、广告互联、浏览器、资讯、电视、广播、出版、邮件营销、手机、IT供应商、数字签名、观点、社团等内容的协会。该协会旨在推动西班牙的数字化市场。IAB Spain是IAB遍布全球的国际性协会事业的一部分。请访问http://www.iabspain.net,了解更多详情。