就在上個月,安全研究員、硬件黑客Samy Kamkar宣布了一項漏洞,稱其可以遠程解鎖OnStar從而啟用通用旗下汽車。一款名為OwnStar的小設備可以劫持移動APPOnStar RemoteLink(OnStar公司出品的汽車輔助手機應用)的數(shù)據(jù)通訊,從而對通用汽車進行遠程定位、解鎖和啟動。
欣慰的是,目前這一問題已經(jīng)得到了解決。但不妙的是,現(xiàn)如今相類似的漏洞發(fā)生在正寶馬Remote、奔馳mbrace以及克萊斯勒的Uconnect系統(tǒng)。
針對這一情況,Samy Kamkar表示:“其實是SSL證書問題影響到了安吉星,不過兩周前他們已經(jīng)解決了這一問題。但它僅僅是增加了幾行代碼,幾乎沒有調(diào)整原來的系統(tǒng)。” 同時Samy Kamkar還表示:已經(jīng)更新了OwnStar設備,現(xiàn)在可以遠程攻擊寶馬Remote、奔馳mbrace以及克萊斯勒的Uconnect系統(tǒng),從而解鎖車輛。
OwnStar的使用方法是這樣的:首先攔截獲取汽車和安全應用程序之間的數(shù)據(jù)通信,并且向相關(guān)的應用程序發(fā)送信息(其中包括登陸信息),隨后不法分子就可以通過登陸到相關(guān)的安全應用程序來控制車輛。進行到這一步,打開車門逃之夭夭就是再簡單不過的事情了。
如果你的車不是上述的三個品牌,現(xiàn)在也不要高興得太早。由于SSL證書問題,可以使得不法分子輕松獲取登陸信息從而解鎖車輛。Kamkar說:不幸的是,SSL證書問題是普遍存在的,在我測試的所有應用程序中幾乎占到一半的比例。
針對這一問題,克萊斯勒的發(fā)言人表示:消費者以及汽車的安全,是我們最高優(yōu)先等級。并且對于負責任的網(wǎng)絡安全披露我們會采取積極的措施進行補救。
Kamkar也表示在未來的三十天內(nèi)不會發(fā)布更新后的OwnStar代碼,讓汽車制造商有機會可以更新他們的系統(tǒng)。如果你是汽車制造商,即便現(xiàn)在尚未被披露出安全問題,也有必要進行系統(tǒng)安全檢測。同時,我們也聯(lián)系了寶馬和奔馳,至于他們對這次事件的看法我們將會第一時間進行報道。