黑客利用应用程序缺陷可获取本田和日产汽车控制权限

据白帽黑客萨姆·库里（Sam Curry）称，一旦被利用，攻击者可以利用该漏洞打开车门、按喇叭、闪灯，甚至启动车辆。

虽然只使用一个移动应用程序就可以控制汽车的某些功能，但您应该记住，随着创新技术的发展，黑客会发现汽车中的漏洞，这一点可能会很方便利用。

事实证明，几家汽车制造商巨头的远程汽车应用程序允许用户从手机启动、解锁、按喇叭和定位汽车，而无需登录凭据。

Yuga Labs的黑客、bug赏金猎人和员工安全工程师Sam Curry在推特上发表了两篇帖子，解释了他的研究，他在其中发现了日产、本田、英菲尼迪和讴歌等多个品牌的远程汽车应用程序安全系统中的这个漏洞。

更多的汽车黑客！

今年早些时候，我们能够远程解锁、启动、定位、闪光和鸣笛任何远程连接的本田、日产、英菲尼迪和讴歌车辆，完全未经授权，只知道车辆的VIN号。

以下是我们如何找到它以及它的工作原理：pic.twitter.com/ul3A4sT47k

-Sam Curry（@samwcyo）2022年11月30日

Curry表示，他通过搜索SiriusXM提供的所有这些公司共享的远程信息处理平台找到了漏洞。SiriusXM以其卫星广播功能而闻名，它为其他品牌以及宝马、现代、捷豹、路虎、雷克萨斯、斯巴鲁和丰田提供了联网车辆服务包。

根据库里的说法，只需要车辆识别号（VIN）就可以对通过远程信息处理平台交换的数据进行授权，允许任何知道车辆VIN的人执行各种命令，例如解锁车门、按喇叭、闪烁车灯，甚至启动车辆。

当库里测试这一点时，他还发现，他可以仅使用通过大多数车辆仪表板上的挡风玻璃可见的VIN来检索客户详细信息，例如客户的姓名、家庭地址、联系信息和汽车详细信息。

此外，即使用户不再拥有活动的SiriusXM订阅，远程信息服务的API调用也能正常工作。库里还指出，他可以随意从该服务中注册或注册车主。

库里只能确认日产、本田、英菲尼迪和讴歌汽车存在此漏洞，但并未涵盖该服务关联的其他品牌。

然而，从好的方面来看，您可以放心，您的汽车不再受到该漏洞的影响。在公开披露他的发现之前应用程序包，库里编制了一份关于安全漏洞的详细报告，并将其提交给了公司。

他表示，SiriusXM已经利用这些信息立即修补了漏洞，这意味着在新闻公开之前，问题已经得到了解决。

有限的安全选项

在数字时代，联网汽车越来越流行。它们提供了一系列好处，从远程访问到燃油消耗监测等等。但对于使用应用程序管理车辆的车主来说，还存在需要解决的潜在安全风险。

易受攻击的应用程序的安全性掌握在其开发者和所有者手中，只有他们才能发布安全更新和修补程序来解决问题。这意味着用户有有限的传统选择。在使用应用程序时，您可以采取以下几个步骤来保护您的汽车免受黑客和其他网络威胁。

首先，不要与不可靠的第三方共享您的车辆的VIN编号，确保您为与您的车辆相关的每个应用程序使用唯一的密码。结合字母、数字和符号的强密码可以帮助保护存储在这些应用程序使用的连接云网络中的宝贵数据。

此外，用户应定期使用其选定的应用程序提供商发布的任何新安全补丁更新其系统–这些更新有助于防止黑客进入您的汽车系统。

（编辑：通辽站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!