汽車也能用手機控制了，安全問題仍需重視

如今，越來越多的東西都聯(lián)網(wǎng)了，就連汽車也可以用智能手機操作。定位、鎖車和解鎖，甚至讓汽車開到身邊，這些只要點擊手機即可完成。問題在于，這些聯(lián)網(wǎng)功能有可能被黑客利用。 近日，安全公司卡巴斯基測試了 7 家汽車公司的 9 款 Android 應(yīng)用，發(fā)現(xiàn)了不小的問題。

這些應(yīng)用的下載量最高達(dá)到 100 萬次，但是，多數(shù)應(yīng)用缺乏最基本的安全措施。如果黑客取得手機的 root 權(quán)限，或者欺騙用戶下載了惡意代碼，那么，他們能夠?qū)ζ囘M行定位、解鎖，甚至能啟動汽車。

研究人員認(rèn)為，這充分證明制造商應(yīng)該更加重視聯(lián)網(wǎng)汽車的安全問題。“與銀行應(yīng)用的開發(fā)者相比，聯(lián)網(wǎng)汽車的開發(fā)者對安全問題的重視不夠，這是為什么呢?” 研究人員 Viktor Chevysev 接受 Wired 網(wǎng)站采訪時說，“他們同樣控制著用戶的貴重物品，但是，他們并沒有思考安全機制。”

此次分析主要針對應(yīng)用本身。研究人員僅在一款車型上嘗試了黑客攻擊，而且，他們并未發(fā)現(xiàn)現(xiàn)存的惡意軟件。不過，通過對應(yīng)用的代碼研究，研究人員已經(jīng)可以了解盜賊可能使用的手法，同時，在一些黑客論壇上出現(xiàn)了關(guān)于買賣相關(guān)數(shù)據(jù)的帖子，證明黑客們對此已經(jīng)有了興趣。

卡巴斯基的研究人員提出三種盜取用戶信息的方法：一種是取得手機的 root 權(quán)限，把用戶的登錄信息發(fā)送到遠(yuǎn)程服務(wù)器上;一種是欺騙用戶下載修改后的 App，盜取用戶信息;還有一種是在手機上植入惡意軟件，當(dāng)汽車應(yīng)用啟動時，惡意軟件會提供欺騙性的界面，盜取和上傳用戶的信息。

目前，研究人員已經(jīng)把這些問題告知汽車廠商。他們表示，這些并非安全漏洞，而是安全措施的缺乏。為此，汽車應(yīng)用要增加一些安全措施，比如加密用戶登錄信息，添加二元認(rèn)證或指紋認(rèn)證，增加惡意軟件監(jiān)測功能等。 隨著聯(lián)網(wǎng)汽車功能增多，安全需求必將變得更加重要。“汽車制造商會不斷添加新功能，使我們的生活更加方便。因此，要預(yù)防未來攻擊，我們現(xiàn)在就需要思考這個問題。” 研究員 Mikail Kuzin 表示。