測試人員會(huì)研究汽車警報(bào)的安全性

2019-06-03 10:53:07 編輯：來源：

導(dǎo)讀 A：你的意思是你的無鑰匙進(jìn)入車雖然發(fā)出了警報(bào)但仍然被盜了? B：不，因?yàn)槲业木瘓?bào)，我的車被偷了。這有意義嗎?如果您在調(diào)查第三方汽車警

A：“你的意思是你的無鑰匙進(jìn)入車雖然發(fā)出了警報(bào)但仍然被盜了?” B：“不，因?yàn)槲业木瘓?bào)，我的車被偷了。” 這有意義嗎?如果您在調(diào)查第三方汽車警報(bào)時(shí)，會(huì)了解英國安全公司的調(diào)查結(jié)果。

簡而言之，在品牌熟悉的汽車中出現(xiàn)的第三方警報(bào)中發(fā)現(xiàn)了安全漏洞。是的，他們正在討論那些可以防止汽車被劫持的警報(bào)。他們可以選擇讓人從智能手機(jī)應(yīng)用程序啟動(dòng)汽車。你在想我們?cè)谙胧裁磫?智能手機(jī)app?使用不安全的警報(bào)應(yīng)用程序，研究人員能夠(1)激活汽車警報(bào)，(2)解鎖車門和(3)啟動(dòng)發(fā)動(dòng)機(jī)。

安全研究人員利用可以讓門打開的品牌(一個(gè)合適的諷刺)來奪取控制權(quán)。他們看到了兩種報(bào)警產(chǎn)品的一些弱點(diǎn)。其中包括汽車可以實(shí)時(shí)地定位，汽車類型可以識(shí)別，可以遠(yuǎn)程啟動(dòng)發(fā)動(dòng)機(jī)，在某些情況下發(fā)動(dòng)機(jī)可能被殺死的調(diào)查結(jié)果。

該研究是由英國Pen Test Partners的BBC Click技術(shù)計(jì)劃開展的，旨在通過滲透測試和安全服務(wù)發(fā)現(xiàn)軟件缺陷。他們斥資5000美元購買并安裝汽車智能警報(bào)器。

BBC新聞的一段視頻顯示，兩名黑客正在等待一輛被選中的被困汽車上行動(dòng)。黑車的受害者不知道(重新制定)即將發(fā)生的事情。汽車恐慌警報(bào)響起，導(dǎo)致司機(jī)停車。然后，在受害者車后面的一輛小型車中，襲擊者下了車并控制了門鎖。

“下車。把鑰匙給我。”

該團(tuán)隊(duì)聯(lián)系了相關(guān)供應(yīng)商，并給他們7天時(shí)間來刪除或修復(fù)易受攻擊的API。幸運(yùn)的是，這些公司確實(shí)對(duì)曝光做出了回應(yīng)，他們已經(jīng)升級(jí)了安全性以消除這些缺陷。

其中一家公司的英國代表在大約48小時(shí)內(nèi)做出回應(yīng)，讓其他辦公室迅速采取行動(dòng)。修復(fù)是一夜之間; 另一家公司也有一個(gè)修復(fù)。

Pen Test Partners評(píng)估了供應(yīng)商的反應(yīng)，并表示“兩家供應(yīng)商的反應(yīng)實(shí)際上都非常好。他們承認(rèn)，回應(yīng)，立即采取行動(dòng)并對(duì)其進(jìn)行驗(yàn)證。這對(duì)所有物聯(lián)網(wǎng)供應(yīng)商來說都是一個(gè)教訓(xùn)!”

“由于更多的東西是網(wǎng)絡(luò)可控的，安全性變得越來越重要，” Hackaday說。至于BBC讀者的回應(yīng)，似乎有一個(gè)擁有汽車的細(xì)分市場并沒有對(duì)技術(shù)的進(jìn)步留下深刻的印象。他們不僅不為所動(dòng)，而且對(duì)依賴影響汽車功能的技術(shù)的增加感到遺憾。

一條評(píng)論是“任何軟件中都沒有'智能'......它只不過是統(tǒng)計(jì)數(shù)據(jù)/概率。換句話說，在做出錯(cuò)誤選擇之前，這是一個(gè)時(shí)間問題。”

另一條評(píng)論說，他希望自己可以購買汽車“沒有全部自動(dòng)化。我不希望電腦為我打開雨刷，或者當(dāng)我轉(zhuǎn)彎時(shí)改變車頭燈的角度，或者當(dāng)我改變車道時(shí)向我發(fā)出嗶嗶聲。危險(xiǎn)分心。我在開車;我應(yīng)該控制汽車。“

還有一個(gè)：“如果它的[原文如此]連接到互聯(lián)網(wǎng)，它的黑客，無論是汽車還是核電站。我在一家涉及安全關(guān)鍵運(yùn)輸基礎(chǔ)設(shè)施的公司工作，我們有一個(gè)嚴(yán)格的規(guī)則，即操作設(shè)備永遠(yuǎn)不會(huì)無論是通過VPN還是其他安全技術(shù)連接到互聯(lián)網(wǎng)。“

其他評(píng)論表明，重點(diǎn)不應(yīng)該放在軟件的脆弱性上，而應(yīng)該放在產(chǎn)品發(fā)布之前需要進(jìn)行徹底的測試和調(diào)試。

一篇評(píng)論著眼于這種情況下公司迅速做出反應(yīng)的方式。安全漏洞是數(shù)字生活的一個(gè)事實(shí)，所以只需處理它。關(guān)鍵焦點(diǎn)是“脆弱性披露和有效補(bǔ)救”，這是“信任的關(guān)鍵衡量標(biāo)準(zhǔn)”。該評(píng)論補(bǔ)充說，應(yīng)該在7天內(nèi)做出更多回應(yīng)，而不是“害怕!”。

標(biāo)簽：汽車警報(bào)