卡巴斯基实验室研究人员警告称,相对于保障汽车的安全性,汽车制造商更希望在最短的时间内将产品推向市场,因此目前联网汽车的安全风险远远超过了它们所具有的优势。
卡巴斯基实验室分析了来自不同制造商的七款最受欢迎的汽车控制App。结果显示,所有App都容易受到这样或那样的攻击,并且没有一个被测试的App配有防御机制。
研究人员还发现,有的App在日志文件里写入了车辆识别码等用户敏感数据,还有的甚至使用电话号码进行授权。另外,有2个App未加密本地存储的登录凭据,4个App仅加密了密码。没有任何的App检查其运行的设备上是否已建立Root权限,这可能意味着这些设备不安全且可能已遭到入侵。
最后,没有任何测试的App使用覆盖保护,以防止其他App篡改它们的屏幕。此前,有恶意软件在其他App上显示假登录屏幕,以诱骗用户公开其登录凭据。
尽管被入侵的联网汽车App可能不会直接造成汽车被窃,但它可以为那些有此目的的罪犯提供便利。大多数此类App或其存储的凭证可用于远程解锁车辆并禁用其报警系统。另外,非法访问汽车程序并蓄意篡改其组成可能导致交通事故,造成人身伤害或死亡。
尽管汽车App在安全性能方面有明显不足,但研究人员强调,他们并没有检测到对某个汽车App发动的单个攻击,而且其成千上万的恶意软件检测实例中也没有包含用于下载此类App的配置文件的代码。
本文转自d1net(转载)
