许多现代汽车搭载的移动应用程序暴露了敏感信息,可能使攻击者能够远程定位、解锁和启动车辆。
该漏洞打补丁,在三月发布的移动应用程序的最新版本,但在周二被公开披露。它是发现,在过去的几年里,在“智能”缺陷的字符串的最新功能由汽车制造商加入到他们的汽车。
现代汽车的问题是由独立的研究人员威廉Hatzer与蓝通移动应用程序分析MyHyundai当阿琼·库马尔发现。
蓝色的链接是一项基于订阅的技术,适用于2012年后发布的许多现代汽车车型。它能让车主在车辆被盗时远程定位,在钥匙丢失或放错地方时远程解锁,甚至在停车或上锁时远程启动或停止引擎。
研究人员发现,从12月初发布的手机应用程序3.9.4版本开始,现代汽车增加了一项功能,可以将日志文件上传到远程服务器。与服务器的连接没有使用HTTPS加密,但是现代试图通过加密所有用户共享的静态密钥来保护日志数据。
问题是,这关键是在应用程序内硬编码的,所以任何人都可以下载的应用程序,找到钥匙,并提取它。这使得攻击者是谁在安装了拦截并解密日志数据的应用程序的位置,以拦截流量来自于手机。
应用程序日志包含车主的用户名、密码和PIN等敏感信息,以及可以泄露汽车位置历史的GPS数据。
中间人攻击可以在不安全的无线网络上执行,如果攻击者在ISP级别获得可见性,可以通过被破坏的路由器,甚至网络链的更高级别。
Hatzer和Kumar与安全公司Rapid7合作协调漏洞披露与韩国现代,美国国土安全部的工业控制系统网络紧急响应小组(ICS-CERT)美国能源部和CERT协调中心在卡内基梅隆大学。
ICS-CERT发表一个顾问对于周二发布的这一问题,针对MitM攻击的通信安全失败级别为中等级别,使用硬编码加密密钥级别为高级别。
现代汽车美国公司(Hyundai Motor America)修复了其面向Android和iOS的蓝色链接(Blue Link)手机应用3.9.6版本的缺陷。该公司告诉Rapid7,在调查之后,他们不知道有任何顾客受到这个问题的影响。
现代汽车是汽车信息共享和分析中心(Auto-ISAC)的成员,该中心是一个共享网络安全威胁和最佳实践信息的行业组织。
汽车网络安全在过去几年里取得了一些进展,一些制造商推出了漏洞奖励计划,并表示愿意与安全研究人员合作。然而,在这些努力开始对汽车相关软件的质量产生重大影响之前,还需要一些时间。
从某种程度上说,这是可以理解的,因为汽车公司是比较新的软件开发。大型软件厂商如微软,Adobe和Oracle仍然发现,每月固定数十个在其产品中的安全漏洞,所以它并不奇怪,汽车软件或伴随移动应用也有漏洞。
然而,与计算机相比,汽车是对人类安全的更大威胁,因此这一问题迫在眉睫。不幸的是,在汽车软件中发现的缺陷通常是基本的安全疏忽,如果遵循众所周知的安全开发原则,就可以很容易地避免。
在最近的另一起事件中,以色列阿格斯网络安全公司的研究人员能够做到关闭行驶中的汽车发动机当在蓝牙范围内由于博世汽车监控设备中的漏洞称为Drivelog连接器。这种加密狗连接到汽车的车载诊断系统(OBD-II)端口和监控它的“健康”,以提醒司机当汽车需要维修。它配备了一个伴随移动应用程序。
Argus的研究人员在应用程序和加密狗之间基于蓝牙的认证系统中发现了一个问题,该系统允许他们在尝试连接加密狗一次后,通过蛮力方法猜测授权密码。有了PIN,研究人员找到了一种通过加密狗远程发送恶意命令到控制器区域网络(CAN总线)的方法,而汽车的电子控制单元(ECUs)则使用CAN总线进行通信。
CAN总线不具有任何加密或认证因为ECU的需要彼此通信,并且为了执行关键功能快地作出反应的传感器读数。正因为如此,获得对CAN总线不受限制的访问是任何汽车黑客的圣杯。
不幸的是,以前的汽车黑客已经表明,汽车制造商没有正确地将CAN总线与外设和远程可访问系统隔离。2015年,研究人员Charlie Miller和Chris Valasek找到了通过移动数据连接入侵切诺基等菲亚特克莱斯勒汽车的信息娱乐系统的方法,然后跳上CAN Bus接管刹车、转向等关键系统。
通过增加互联网连接和远程访问功能,使汽车更“聪明”当然可以提高车主的经验,但同时也增加了汽车的攻击面。这可能是很多的,这些功能将被适当地固定的时间,如果汽车制造商继续采取网络安全当回事,但现在,它似乎更容易,如果有车有远程控制功能,还有在执行一个可利用的漏洞的地方。