卡巴斯基研究室发现 汽车共享应用程序易受黑客攻击

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

卡巴斯基实验室的研究人员分析了汽车共享公司提供的十几个移动应用程序,发现了可以被利用来获取个人信息甚至偷车的严重安全漏洞。

这家安全公司的员工已经调查了13款适用于Android的汽车共享应用程序。目标应用程序在美国,欧洲和俄罗斯使用,并且已从Google Play下载超过100万次。

出于多种原因,汽车共享应用程序可能成为恶意攻击者的诱人目标。他们可能会劫持合法用户的帐户,以便在没有实际支付费用的情况下驾驶汽车,窃取其零件的车辆或犯罪,追踪用户的位置以及获取帐户持有人的个人信息。

虽然其中一些是理论上的风险,但卡巴斯基指出,网络犯罪分子已经在销售被劫持的汽车共享账户。卖家声称这些帐户可用于多种用途,包括无牌驾驶汽车。

研究人员首先检查应用程序是否可以进行逆向工程,以及是否可以使用root权限执行这些应用程序。未能防止未经授权的个人对应用程序进行逆向工程会增加某人创建应用程序的恶意版本的风险。允许应用程序在root设备上运行使攻击者能够访问敏感信息。

只有其中一个应用程序具有逆向工程保护,但它并未阻止在有根设备上执行。另一方面,有问题的应用程序确实对敏感数据进行了加密,从而通过允许其以提升的权限运行来降低所引入的风险。

卡巴斯基还验证了保护汽车共享帐户的密码的强度。专家发现,在许多情况下,开发人员设置弱密码或为用户提供简短的一次性验证码。这与缺少登录尝试次数的限制机制相结合,使得更容易发动暴力攻击并获得密码或一次性代码。

卡巴斯基研究室发现 汽车共享应用程序易受黑客攻击

汽车共享应用程序的用户通常可以在社交媒体上识别 - 他们在驾驶时使用特定的标签发布图片并不罕见 - 他们经常无意中在这些网站上公开他们的电话号码。

电话号码对攻击者很重要,因为这条信息可以代表用户名,而且是汽车共享公司发送一次性密码的地方。

研究人员还注意到,虽然应用程序使用HTTPS与服务器进行通信,但它们都无法检查服务器的证书,从而更容易启动中间人(MitM)攻击并拦截潜在的敏感数据。

最后,专家检查了应用是否包含任何叠加保护。具体来说,他们验证了开发人员是否实施了任何机制,以防止已经访问智能手机的攻击者在合法的汽车共享应用程序之上显示虚假窗口(即网络钓鱼页面)。不幸的是,所测试的应用程序都没有保护用户免受此威胁。

卡巴斯基没有透露任何经过测试的应用程序,但确实指出,美国和欧洲公司制造的应用程序比俄罗斯公司更安全。

卡巴斯基实验室安全专家Victor Chebyshev解释说:“我们的研究得出的结论是,在目前的状态下,汽车共享服务的应用还没有准备好抵御恶意软件攻击。” “虽然我们尚未发现任何针对汽车共享服务的复杂攻击案件,但网络犯罪分子了解此类应用程序所具有的价值,而黑市上的现有优惠表明供应商没有太多时间去除这些漏洞。”

CE安全网

发表评论

您必须登录才能发表评论!