測試人員會研究汽車警報的安全性

A：“你的意思是你的無鑰匙進入車雖然發(fā)出了警報但仍然被盜了?” B：“不，因為我的警報，我的車被偷了。” 這有意義嗎?如果您在調(diào)查第三方汽車警報時，會了解英國安全公司的調(diào)查結(jié)果。

簡而言之，在品牌熟悉的汽車中出現(xiàn)的第三方警報中發(fā)現(xiàn)了安全漏洞。是的，他們正在討論那些可以防止汽車被劫持的警報。他們可以選擇讓人從智能手機應(yīng)用程序啟動汽車。你在想我們在想什么嗎?智能手機app?使用不安全的警報應(yīng)用程序，研究人員能夠(1)激活汽車警報，(2)解鎖車門和(3)啟動發(fā)動機。

安全研究人員利用可以讓門打開的品牌(一個合適的諷刺)來奪取控制權(quán)。他們看到了兩種報警產(chǎn)品的一些弱點。其中包括汽車可以實時地定位，汽車類型可以識別，可以遠程啟動發(fā)動機，在某些情況下發(fā)動機可能被殺死的調(diào)查結(jié)果。

該研究是由英國Pen Test Partners的BBC Click技術(shù)計劃開展的，旨在通過滲透測試和安全服務(wù)發(fā)現(xiàn)軟件缺陷。他們斥資5000美元購買并安裝汽車智能警報器。

BBC新聞的一段視頻顯示，兩名黑客正在等待一輛被選中的被困汽車上行動。黑車的受害者不知道(重新制定)即將發(fā)生的事情。汽車恐慌警報響起，導(dǎo)致司機停車。然后，在受害者車后面的一輛小型車中，襲擊者下了車并控制了門鎖。

“下車。把鑰匙給我。”

該團隊聯(lián)系了相關(guān)供應(yīng)商，并給他們7天時間來刪除或修復(fù)易受攻擊的API。幸運的是，這些公司確實對曝光做出了回應(yīng)，他們已經(jīng)升級了安全性以消除這些缺陷。

其中一家公司的英國代表在大約48小時內(nèi)做出回應(yīng)，讓其他辦公室迅速采取行動。修復(fù)是一夜之間; 另一家公司也有一個修復(fù)。

Pen Test Partners評估了供應(yīng)商的反應(yīng)，并表示“兩家供應(yīng)商的反應(yīng)實際上都非常好。他們承認，回應(yīng)，立即采取行動并對其進行驗證。這對所有物聯(lián)網(wǎng)供應(yīng)商來說都是一個教訓(xùn)!”

“由于更多的東西是網(wǎng)絡(luò)可控的，安全性變得越來越重要，” Hackaday說。至于BBC讀者的回應(yīng)，似乎有一個擁有汽車的細分市場并沒有對技術(shù)的進步留下深刻的印象。他們不僅不為所動，而且對依賴影響汽車功能的技術(shù)的增加感到遺憾。

一條評論是“任何軟件中都沒有'智能'......它只不過是統(tǒng)計數(shù)據(jù)/概率。換句話說，在做出錯誤選擇之前，這是一個時間問題。”

另一條評論說，他希望自己可以購買汽車“沒有全部自動化。我不希望電腦為我打開雨刷，或者當(dāng)我轉(zhuǎn)彎時改變車頭燈的角度，或者當(dāng)我改變車道時向我發(fā)出嗶嗶聲。危險分心。我在開車;我應(yīng)該控制汽車。“

還有一個：“如果它的[原文如此]連接到互聯(lián)網(wǎng)，它的黑客，無論是汽車還是核電站。我在一家涉及安全關(guān)鍵運輸基礎(chǔ)設(shè)施的公司工作，我們有一個嚴(yán)格的規(guī)則，即操作設(shè)備永遠不會無論是通過VPN還是其他安全技術(shù)連接到互聯(lián)網(wǎng)。“

其他評論表明，重點不應(yīng)該放在軟件的脆弱性上，而應(yīng)該放在產(chǎn)品發(fā)布之前需要進行徹底的測試和調(diào)試。

一篇評論著眼于這種情況下公司迅速做出反應(yīng)的方式。安全漏洞是數(shù)字生活的一個事實，所以只需處理它。關(guān)鍵焦點是“脆弱性披露和有效補救”，這是“信任的關(guān)鍵衡量標(biāo)準(zhǔn)”。該評論補充說，應(yīng)該在7天內(nèi)做出更多回應(yīng)，而不是“害怕!”。