追踪、定位、解锁、启动:通过APP漏洞完全搞定特斯拉

简介:

挪威app安全公司Promon的安全专家成功控制了一台特斯拉汽车,完全控制,包括找出车辆停放地点、打开车门和无钥匙启动。特斯拉智能手机app中安全的缺失为各种形式的漏洞利用敞开了大门。Promon的网络攻击,在之前9月底科恩(KEEN)安全实验室演示的黑客攻击的基础上,扩展了更多的功能和实用性。

Promon创始人兼CTO汤姆·莱斯莫斯·汉森称:“Keen安全实验室最近的研究,利用了特斯拉汽车CAN总线系统中的漏洞,让他们可以控制该车部分功能。我们的测试是将特斯拉app作为切入点的首次尝试,比他们的更进一步,暴露出被黑app能直接导致车辆被盗。”

该黑客攻击生效的方式之一,是在公共特斯拉充电桩之类的地方设置WiFi热点。只要特斯拉用户登录并访问网页,针对车主的广告就会浮现,用免费午餐或免费咖啡之类的诱惑车主去点击。一旦点击该链接,下载了随附的app,黑客就能访问用户的手机,攻击特斯拉app,获取到用户名和口令。

Promon列出了特斯拉app中存在的各种安全缺陷。

该攻击不特定于特斯拉一家,其通用形式可被用于任意app。然而,特斯拉app没有提供任何形式的防护措施来让攻击者耗费时间精力,几乎是一勾就走。

其中凸显的一个突出问题是:OAuth授权令牌竟然是明文存储的——明显没有任何加密措施来保护授权令牌。仅仅是获取到该小片数据这一条,就能得知车辆停放位置,追踪并解锁车辆。

把车开走还需要用户名和口令,但因该app对自身已被修改成带发送凭证到服务器的恶意软件类行为毫无所觉,攻击者获取用户名和口令也是轻而易举的事。

Promon表示:“如果特斯拉遵循最佳安全实践(比如像开放web应用安全项目建议的那样),包括在app内部应用自防护功能,那就需要更高的技术,投入更多的精力才能实施攻击。”Promon称与特斯拉进行了密切磋商以解决这些app安全问题。

特斯拉发言人称,“特斯拉从未收到过任何因app被黑而导致车辆被盗的报告”,并提供了以下声明。

该报告和视频并未证明任何特斯拉专属漏洞。该演示仅表明了绝大多数人直观感受到的事实——如果手机被黑,手机上的应用可能不再安全。研究人员展示了已知社会工程技术可被用于引诱人们在自己的安卓手机上安装恶意软件,侵入他们整个手机及机上所有app,当然,里面就包括了特斯拉app。特斯拉建议用户使用最新版本的手机操作系统。

app安全公司Veracode首席解决方案架构师约翰·史密斯评论道:“特斯拉刚刚修复了可致车辆被远程利用的漏洞,现在又曝出可致车辆被盗的新安全缺陷,凸显出汽车制造商们因在车中引入了联网服务而面临诸多安全风险和挑战。不安全的软件是目前汽车行业所面临的最严重问题之一。IDC最近的报告指出:车辆安全系统与黑客之间可能存在3年的时间差。

今天的联网汽车里运行着超过2亿行代码,更不用说与车辆相连的手机app了。汽车厂商将安全置于开发策略的中心位置,而不是事后后悔,这是十分必要的。

本文转自d1net(转载)

目录
相关文章
|
3天前
|
安全 定位技术 API
婚恋交友系统匹配功能 婚恋相亲软件实现定位 语音社交app红娘系统集成高德地图SDK
在婚恋交友系统中集成高德地图,可实现用户定位、导航及基于地理位置的匹配推荐等功能。具体步骤如下: 1. **注册账号**:访问高德开放平台,注册并创建应用。 2. **获取API Key**:记录API Key以备开发使用。 3. **集成SDK**:根据开发平台下载并集成高德地图SDK。 4. **配置功能**:实现定位、导航及基于位置的匹配推荐。 5. **注意事项**:保护用户隐私,确保API Key安全,定期更新地图数据,添加错误处理机制。 6. **测试优化**:完成集成后进行全面测试,并根据反馈优化功能。 通过以上步骤,提升用户体验,提供更便捷的服务。
|
7月前
|
编解码 Java 测试技术
『App自动化测试之Appium应用篇』| uiautomator + accessibility_id定位方法完全使用攻略
『App自动化测试之Appium应用篇』| uiautomator + accessibility_id定位方法完全使用攻略
301 0
|
1月前
|
安全 Apache 开发工具
【Azure App Service】在App Service上关于OpenSSH的CVE2024-6387漏洞解答
CVE2024-6387 是远程访问漏洞,攻击者通过不安全的OpenSSh版本可以进行远程代码执行。CVE-2024-6387漏洞攻击仅应用于OpenSSH服务器,而App Service Runtime中并未使用OpenSSH,不会被远程方式攻击,所以OpenSSH并不会对应用造成安全风险。同时,如果App Service的系统为Windows,不会受远程漏洞影响!
|
4月前
|
负载均衡 网络协议 安全
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
|
6月前
|
存储 前端开发 Java
实现实时追踪的返利App系统设计
实现实时追踪的返利App系统设计
|
7月前
|
JSON Java 定位技术
【Android App】GPS获取定位经纬度和根据经纬度获取详细地址讲解及实战(附源码和演示 超详细)
【Android App】GPS获取定位经纬度和根据经纬度获取详细地址讲解及实战(附源码和演示 超详细)
2208 0
|
7月前
|
XML 数据格式
Xpath高阶定位技巧,轻松玩转App测试元素定位!
XPath是一种用于XML文档中节点定位的语言,支持逻辑运算符(and、or、not)、轴定位、谓词和内置函数。
|
7月前
|
测试技术 Android开发 索引
XPath定位如何在App自动化测试中大显神威
本文介绍了如何在Appium中使用XPath进行自动化App测试。通过淘宝App实例,展示了XPath在定位元素上的应用,包括基础定位(如通过text、resource-id、class和content-desc属性),contains模糊定位,组合定位以及层级定位(如父、子、兄弟和祖元素定位)。XPath的灵活性和强大功能使得在Appium中高效地定位元素成为可能,从而提升移动应用的测试效率。
|
7月前
|
XML Java 定位技术
【Android App】定位导航GPS中开启手机定位功能讲解及实战(附源码和演示 超详细)
【Android App】定位导航GPS中开启手机定位功能讲解及实战(附源码和演示 超详细)
351 0
|
算法 数据库 索引
App Inventor 2 算法之二分算法(Binary Search)实现,快速查找定位
二分算法(Binary Search)是生活中非常常用的折半算法,能解决快速查找、快速定位的问题,主要用到数学和逻辑代码块。 本示例程序演示了采用普通遍历的方式和二分的方式分别需要几次能够猜中随机给出的数字。
161 0

热门文章

最新文章