汽车安全愈发严峻,黑客与极客们不断的开发新技能、新设备以攻破汽车。从去年极棒现场破解特斯拉,到今年的宝马汽车漏洞,都在暗示着汽车行业安全需严肃以待。
有安全研究人员开发了一个名为OwnStar的小设备,它可以劫持移动APPOnStar RemoteLink(OnStar公司出品的汽车辅助手机应用)的流量,对通用汽车进行远程定位、解锁和启动。该设备由安全研究员、硬件黑客Samy Kamkar研发。Kamkar热衷于寻找各系统的安全问题,包括车库门、无线键盘、无人机等。最近新研发的OwnStar设备,只需简单的向OnStar服务器发送几个特殊的数据包即可远程控制用户汽车。
这不正是偷车贼梦寐以求的东西嘛!
OwnStar的使用方法
OwnStar的使用条件是:要想法设法接近正在使用RemoteLink移动APP的用户,然后用OwnStar设备劫持应用程序发向OnStar服务器的请求。由此,不法分子就可以掌控RemoteLink应用程序所处理的全部功能,如解锁、远程启动汽车。
Kamkar在视频中演示了攻击细节:
只要目标用户在OwnStar设备周围打开了RemoteLink移动应用程序,OwnStar就会劫持其上的通信,然后向手机端发送精心构造的数据包,以获得更多的信息,如地理位置、制造商、型号等。
值得注意的一点是,该漏洞是RemoteLink移动APP上的漏洞,而不是汽车本身的漏洞。
百科:OnStar公司
OnStar,通用汽车子公司,为通用提供车载安全和通讯服务。服务的涵盖面非常广,包括远程故障诊断、应急服务、碰撞检测和警报、道路救援、远程解锁、导航等。而RemoteLink移动应用程序则可以通过手机管理汽车的一些功能。
Kamkar已经将该问题通知给了GM(通用)汽车公司,GM也在第一时间给予了回应,目前正在紧急修复中。Kamkar计划在下周的DEF CON会议上公开其中的细节,值得一提的是,他不仅会公开通用汽车的安全问题,还会公开其他汽车公司的安全问题。
安全建议
建议用户暂时禁用RemoteLink移动应用程序,直至OnStar修复了该漏洞。