測試人員會研究汽車警報的安全性

A：“你的意思是你的無鑰匙進入車雖然發(fā)出了警報但仍然被盜了?” B：“不，因為我的警報，我的車被偷了。” 這有意義嗎?如果您在調(diào)查第三方汽車警報時，會了解英國安全公司的調(diào)查結果。

簡而言之，在品牌熟悉的汽車中出現(xiàn)的第三方警報中發(fā)現(xiàn)了安全漏洞。是的，他們正在討論那些可以防止汽車被劫持的警報。他們可以選擇讓人從智能手機應用程序啟動汽車。你在想我們在想什么嗎?智能手機app?使用不安全的警報應用程序，研究人員能夠(1)激活汽車警報，(2)解鎖車門和(3)啟動發(fā)動機。

安全研究人員利用可以讓門打開的品牌(一個合適的諷刺)來奪取控制權。他們看到了兩種報警產(chǎn)品的一些弱點。其中包括汽車可以實時地定位，汽車類型可以識別，可以遠程啟動發(fā)動機，在某些情況下發(fā)動機可能被殺死的調(diào)查結果。

該研究是由英國Pen Test Partners的BBC Click技術計劃開展的，旨在通過滲透測試和安全服務發(fā)現(xiàn)軟件缺陷。他們斥資5000美元購買并安裝汽車智能警報器。

BBC新聞的一段視頻顯示，兩名黑客正在等待一輛被選中的被困汽車上行動。黑車的受害者不知道(重新制定)即將發(fā)生的事情。汽車恐慌警報響起，導致司機停車。然后，在受害者車后面的一輛小型車中，襲擊者下了車并控制了門鎖。

“下車。把鑰匙給我。”

該團隊聯(lián)系了相關供應商，并給他們7天時間來刪除或修復易受攻擊的API。幸運的是，這些公司確實對曝光做出了回應，他們已經(jīng)升級了安全性以消除這些缺陷。

其中一家公司的英國代表在大約48小時內(nèi)做出回應，讓其他辦公室迅速采取行動。修復是一夜之間; 另一家公司也有一個修復。

Pen Test Partners評估了供應商的反應，并表示“兩家供應商的反應實際上都非常好。他們承認，回應，立即采取行動并對其進行驗證。這對所有物聯(lián)網(wǎng)供應商來說都是一個教訓!”

“由于更多的東西是網(wǎng)絡可控的，安全性變得越來越重要，” Hackaday說。至于BBC讀者的回應，似乎有一個擁有汽車的細分市場并沒有對技術的進步留下深刻的印象。他們不僅不為所動，而且對依賴影響汽車功能的技術的增加感到遺憾。

一條評論是“任何軟件中都沒有'智能'......它只不過是統(tǒng)計數(shù)據(jù)/概率。換句話說，在做出錯誤選擇之前，這是一個時間問題。”

另一條評論說，他希望自己可以購買汽車“沒有全部自動化。我不希望電腦為我打開雨刷，或者當我轉彎時改變車頭燈的角度，或者當我改變車道時向我發(fā)出嗶嗶聲。危險分心。我在開車;我應該控制汽車。“

還有一個：“如果它的[原文如此]連接到互聯(lián)網(wǎng)，它的黑客，無論是汽車還是核電站。我在一家涉及安全關鍵運輸基礎設施的公司工作，我們有一個嚴格的規(guī)則，即操作設備永遠不會無論是通過VPN還是其他安全技術連接到互聯(lián)網(wǎng)。“

其他評論表明，重點不應該放在軟件的脆弱性上，而應該放在產(chǎn)品發(fā)布之前需要進行徹底的測試和調(diào)試。

一篇評論著眼于這種情況下公司迅速做出反應的方式。安全漏洞是數(shù)字生活的一個事實，所以只需處理它。關鍵焦點是“脆弱性披露和有效補救”，這是“信任的關鍵衡量標準”。該評論補充說，應該在7天內(nèi)做出更多回應，而不是“害怕!”。