Android应用程序,允许数百万车主远程定位和解锁其车辆缺少安全功能,可以防止黑客篡改。
AntiVirus供应商Kaspersky Lab的研究人员占据了来自各种制造商的连通汽车的最受欢迎的Android应用程序中的七个,并从受妥协的Android设备的角度分析了它们。应用程序和制造商尚未命名。
研究人员查看了此类应用程序是否使用任何可用的对策,这些对策将使攻击者难以劫持它们,当您安装的设备进行了攻击时感染恶意软件。其他类型的应用程序(例如银行应用)有这样的保护。
分析显示,没有任何测试的应用程序使用代码混淆以使攻击者更难以反向工程师,并且它们都不是使用代码完整性检查以防止恶意操作。
两个应用程序没有加密本地存储的登录凭据,只有四个加密密码。没有任何应用程序检查他们的重新运行的设备植根于植物,这可能表明它们“重新拒绝并可能受到损害。
最后,没有测试应用程序使用覆盖保护以防止其他应用在其屏幕上绘制。有没有恶意软件应用程序在其他应用程序的顶部显示虚假登录屏幕,以欺骗用户窃取其登录凭据。
妥协的连接汽车应用可能无法直接启动盗窃,它可以使盗贼更容易。大多数此类应用程序或其存储的凭据可用于远程解锁车辆并禁用其报警系统。
此外,风险不仅仅“仅仅是汽车盗窃”,Kaspersky研究人员在博客帖子中表示。“通过其元素访问汽车和故意篡改可能导致道路事故,伤害或死亡。”
虽然制造商正在急于向汽车推荐的汽车添加智能功能,但它们倾向于更多地关注保护后端基础设施和通信渠道。然而,卡巴斯基研究人员警告说,客户端代码(如附带的移动应用)不应被忽略,因为它是攻击者最简单的目标,并且最有可能是最脆弱的地方。
“一辆汽车需要一种昂贵的事情,需要一种不太细致的安全方法,而不是银行账户的安全性,”研究人员说。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。