汽車應用程式:誰人拿了你的車匙?

現代汽車基本上就是一台有車輪的電腦,有很多更加連接著互聯網,結果汽車製造商除了製造汽車,現在還會開發應用程式去遙距控制他們的汽車,不過不同用戶有不同需要,第三方的應用程式也應運而生,但他們往往需要存取用戶的汽車原廠帳號,當中的安全成疑。

誰正在駕駛你的車?

汽車要確定真的是你(車主)正在使用應用程式,所以需要輸入用戶名稱和密碼,如果你使用汽車製造商自家應用程式,你的帳戶憑證不會交到第三方手上,這是汽車製造商他們自家產品必需符合的保安標準。

如果你使用第三方應用程式,貪其具備官方應用程式缺乏的獨特功能,它或多或少需要存耳汽車或它的遙測數據,一些應用程式使用汽車製造商為此而專門開發的解決方案,無需你的憑證但只提供有限的汽車存取,容許你使用他們的功能但防止做出危險動作,例如車門解鎖,但此類應用程式只屬於少數。

大部份的汽車應用程式都需要你的汽車製造商帳號用戶名稱和密碼,這意味著他們能完全存取你的帳號,與此同時,對汽車製造商的保安要求並沒有延伸至這些應用程式,問題亦因此而起。

信任是一切

研究主要集中在使用車主的汽車製造商帳號的第三方流動應用程式,很不幸,超過一半並沒有警告交出帳號的風險,有警告的則保證他們不儲存憑證或以加密的方式儲存,其中一些強證用戶名稱和密碼僅用於取得授權token,但token其實容許任何人代表你使用該帳號,就像擁有你的登入憑證一樣,如果儲存不當同樣有外洩風險,更甚者,並沒有方法檢查你的憑證是如何處理,用戶只有相信開發者或不使用該應用程式。

此外,研究人員調查的應用程式中,有14%如果發生問題時無法聯絡,在他們的網站列出的聯絡資料,不是缺失就是指向已刪除的社交媒體網頁。網上服務也有類似情況,用戶交出他們的憑證但不確定資料會如何儲存和處理,一些開源的方案在這方便更月透明度,但對普遍沒有IT背景的人同樣是極度困難去研究編碼。

另一個問題是,汽車製造商的系統連接到第三方應用程式存在中介服務,通常是汽車應用程式或網上服務開發者使用,但用戶可能對此一無所知,不過如果你選擇了這類第三方應用程式,應用程式和中介服務的開發者都會取得你的憑證。

第三方應用程式存取你的汽車的風險

如果你的憑證儲存並非很安全,入侵者便能取得,他們很可能無法偷你的車,但他們能遙控不同系統,包括:門、窗、溫度、喇叭、車頭燈等等,如果入侵者在你駕駛時隨機閃動車頭燈,隨時會做成危險。看起來像電影橋段,也可能有人會覺得誰人會做這種無聊事,事實上就是有追求有趣或作弄人的人,他們可能並沒有想過後果。

另外,如果應用程式被入侵,攻擊者便能存取所有收集到的數據,包括地理位置,這能用作追跡車主移動,較早前一位保安專家音外發現TeslaMate應用程式的安全漏洞,他藉此能找到車主的居所、他駕駛去過的地方、車速、泊車的位置、充電的位置和車輛安裝了哪些更新。

應該停用第三方應用程式嗎?

以上的文章並不是說不應該使用第三方應用程式,並不是所有開發人員都無視用戶數據的安全,而且上文也提過,有些應用程式不需要完全存取你的帳號。所以如果要使用第三方應用程式,盡可能選擇可靠的開發者,至少不會隱藏聯絡資料和尊重透明度概念,查看保安專家的報告和回應,瞭解它如何運作和有甚麼風險。

如果你正使用第三方應用程式但想停用,注意解險智能電話上的安裝可能並不足夠:

  • 檢查你是否需要解除訂閱或刪除服務帳號
  • 更改汽車製造商帳號的密碼
  • 如果可以,從汽車製造商的網站或技術支援,撤銷該應用程式存取你的帳號。

資料來源:Kaspersky Blog