汽車App 5大常見安全漏洞

聯網汽車(connected car)近年的發展相當迅速,無人駕駛或其他功能都需要連接互聯網,而系統的網絡安全亦逐漸受到重視。由於物聯網經常與手機應用程式連接,所以亦成為攻擊的首要目標,但是汽車業界並非網絡保安的專家,在設計應用程式時未能全面考慮安全因素,所以設計時留下漏洞,往往讓有心人事有機可乘。
connected cars

5大常見設計漏洞
汽車手機應用程式的原意,是使用戶方便,例如打開車門或啟動汽車,可惜在設計應用程式時,經常疏忽以下因素:

欠缺應用程式逆向工程保護
黑客可以暢通無限地鑽研應用程式尋找安全漏洞,讓他們能夠進入連接的伺服器或者汽車的多媒體系統。

欠缺代碼原整性檢查
使黑客能夠在應用程式中加入自己的代碼,增加惡意功能取代原有的應用程式,使用戶跌入陷阱。

欠缺深層偵測技術
深層權限讓木馬程式擁有接近無限制的能力,在應用程式上為所欲為。

對「覆蓋」技術欠保護
惡意程式可以在原有的應用程式畫面上,覆蓋一個釣魚視窗,追蹤用戶輸入的登入資料,然後暗地裡傳送到罪犯手上。

儲存登入資料在文字檔
黑客可以輕鬆地直接盜取用戶的登入帳號和密碼。

透過以上的漏洞,黑客有可能間接取得汽車的控制權,打開門鎖、關掉警報甚至偷走汽車。研究人員已經將找到的安全漏洞通知開發人員,由於涉及安全問題,並未向公眾披露應用程式的名字。在物聯網的年代,人們經常重視便利而忽略安全,心存僥倖自己並不會成為罪犯的目標,其實一般網絡罪犯要追求收入,並不局限於攻擊金融機構,在缺乏安全意識的大眾身上隨時更具成本效益,期望汽車業界能盡早提高網絡安全意識,保護用戶的性命財產安全。