大众汽车的车载娱乐系统发现可泄露驾驶员隐私的漏洞

xiaohui 新闻 2018年4月26日发布

导语:Computest的安全研究人员发现大众汽车的车载娱乐系统发现可泄露驾驶员隐私的漏洞。攻击者可以通过该漏洞获得了对整个车载智能系统的远程访问,这意味着司机的隐私可能会严重受损。

timg.jpg

4月20日,Computest的安全研究人员发现大众汽车的车载娱乐系统发现可泄露驾驶员隐私的漏洞。攻击者可以通过该漏洞获得了对整个车载智能系统的远程访问,这意味着司机的隐私可能会严重受损。在某些情况下,攻击者可以通过车载娱乐系统打开或关闭麦克风,监听司机正在进行的谈话,另外,攻击者还可以访问车主完整的地址簿和历史通话记录。此外,由于存在该漏洞,黑客还可以通过导航系统精确地定位驾驶员的位置,并随时随地查看车辆的位置。目前Computest已经向大众汽车公司报告了此泄漏,据大众汽车称,这个漏洞已经得到修复。

Computest是一家快速增长的公司,成立于2005年,总部位于荷兰海牙,专门从事性能测试、安全测试,以及测试自动化领域的工作。

本次的调查主要集中在大众高尔夫GTE和奥迪A3 Sportback e-tron的漏洞上,这两款车型都是在2015年制造的。这些类型的汽车中安装了各种不同版本的Harman(家用与车用音响制造商)

的信息娱乐系统,这样,黑客就能够远程访问车内的所有设备,例如使用USB来获得系统的管理权限。这就导致他们获得对扬声器,麦克风和导航系统的控制权。由于黑客在识别出含有漏洞的车载娱乐系统后,制造商无法远程更新特定类型的信息娱乐系统,因此这些品牌的车必然都会遭到黑客攻击。

Computest的安全专家Daan Keuper和Thijs Alkemade是在一个研究项目中发现的这些漏洞。他们在很早以前就预言了随着家中物联网设备数量的快速增长,以及医疗保健部门和汽车智能应用的普及,安全则一定是考虑的重点。但是,汽车智能应用发展还不是很成熟,所以通常没有更新这些连接系统的简单方法。

调查过程

由于Computest的专家每天都参与到提高软件安全性的工作中,因此他们也研究了汽车网络连接所带来的风险。

调查过程中,Keuper和Alkemade所获得访问的车载系统会允许他们间接连接驾驶员刹车和加速的系统。但Computest的董事兼创始人Hartger Ruijs决定在当时停止调查,原因是:

这种类似于白帽黑客的调查方法必须要达到方式方法都合理,如果知道了某个软件的漏洞,就贸然进入进行调查,这和黑客也没有什么区别。因此,未经制造商许可而继续进行调查并不是我们的选择。

汽车系统中的这些漏洞不仅会引来其他的漏洞,而且还提醒这些存在漏洞的汽车将在未来使用多年,并且没有更新机制。Daan Keuper表示:

尽管网络连接涉及到司机和制造商都不知道的风险,但网络连接在汽车中是一个很受欢迎的功能。目前最大的问题主要源自已经上市多年的汽车系统,这些汽车系统软件很少被更新。这意味着系统几乎没有得到充分的保护,在使用期间可以随时被攻击者可以攻击。

缓解措施

因此,Keuper的建议是:

汽车行业的安全更新工作一定得从制造商那里跟得上,这样消费者才有机会将他们的汽车上的软件系统升级到最新版本,抵御最新的攻击。换句话说,不是消费者被动向经销商索要更新,而是经销商应通过无线方式自动推送更新,就像使用笔记本电脑或智能手机一样。但是,这也意味着制造商应该选择可能的系统。此外,他们必须继续在汽车的整个生命周期内积极地维护他们的汽车安全。

完整的研究报告,包括大众汽车集团的回信函以及Computest如何管理大众汽车的漏洞披露流程,可以在这里下载。

本文翻译自:https://www.computest.nl/en/pressrelease-en/volkswagen-group-models-vulnerable-to-hackers/如若转载,请注明原文地址: http://www.4hou.com/info/news/11226.html
点赞 8
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论