50%的OBD盒子有安全隱患,你還敢用嗎?
責編:admin |2014-09-22 17:16:212014 年是車聯網的發展元年。ABI 研究公司預計到 2017 年全球 60% 的新車將具備互聯網連接。移動設備的數量呈指數級增長,手機應用集成智能汽車的解決方案。手機不是威脅爆發的目的地,而是一個能移動的威脅傳輸平臺:攻擊會隨著手機的移動性進入到新的領域,由此攻擊將擴散開去。汽車隨著汽車移動應用進入車載或者車載娛樂系統將變成潛在的攻擊目標。車聯網安全公司 VisualThreat 在 2014 年研究了國內外 19 家 OBD 產品和近 60 個車聯網移動應用。報告研究表明,沒有設計自己的私有加密協議而采用開放的通用協議是 OBD 盒子最普遍的安全問題;而代碼沒有保護措施和泄露用戶數據是汽車應用最常見的安全問題和潛在風險。
本研究報告調研的車聯網應用是從國內外各個應用商店下載的。按照功能分為下面三類:1. 汽車法規,年檢,診斷手冊類;2. 地圖,道路狀況實時更新類;3. 汽車診斷,行駛記錄儀,車主駕駛習慣收集類。從 OBD 產品的通信方式角度評估風險,把此類安全隱患氛圍兩類:1. 通訊加密安全(加密強度、解密密鑰暴露、應用與服務器通信、服務器安全);2. 協議安全(通信流程偽造、是否是通信私有協議)。從隱私泄露角度評估風險,研究人員定義了 5 類隱私泄露行為:數據泄漏、短信活動、文件操作、監視和網絡活動。在此基礎上,結合對手機應用的靜態和動態分析,為每一個移動應用生成一份詳細的隱私泄露風險分析報告,并計算出對應的 Mobile ThreatCert 安全分數值。從安全隱患角度評估風險,包括 3 個方面: 數據存儲安全、功能安全和代碼安全。
隱私泄露的多少不能直接代表應用安全性的開發水平。事實上很多廠家為了能充分獲其應用使用者的個人隱私信息和車輛信息,主動地在應用開發代碼中收集過多的用戶個人信息,并把這些信息提交到云服務數據庫去,建立用戶的檔案,方便以后的服務推廣和廣告精準投放。其中地理位置是最常見的收集信息,高達 90% 的車聯網 OBD 應用都會收集用戶的地理位置用于實時路況,GPS 定位和開車行程等。手機信息(IMSI/IMEI)短信和通訊錄信息也屬于高頻率信息收集范疇。下面這張圖是“隱私泄露分數”分布圖。高達 70% 的車聯網應用有中度到高度用戶隱私泄露安全隱患。每 10 個安卓汽車應用中有 7 個具有中度到高度隱私泄露風險
調研的應用中,URI 和組件暴露占到了最大的比例分別為 77.2% 和 69.8% 。代碼保護方面,代碼混淆的技術也沒有普遍用到。我們對兩家國外的 OBD 產品進行了安全測試,結果一樣不容樂觀。在其中一家的代碼程序里很容易地找到發送指令的函數,而且的私有協議過于簡單,只要用手機通過藍牙對設備發送相應的指令,就能達到控制車的目的。另一家更糟糕,基本上沒有防逆向措施,有代碼混淆但是混淆強度很弱,無加固,導致代碼邏輯泄露。對重新打包無感知。容易被篡改程序流程或者植入惡意 java 代碼。
2014 年 9 月份美國拉斯維加斯剛剛結束的 CTIA 移動大會指出:到 2017 年, 有 60% 的新車(即 1000 萬輛)會裝載移動電信模塊,72% 的受訪用戶表示會推遲一年購車專門等待智能汽車的出現。智能汽車全球市場將達千億美元,只是美國市場就占了 340 億美元。鑒于之前安卓應用每年增加 7-8 倍的規律,2015 年的汽車應用的數目應該會超出 100 萬。不幸的是,由于缺少細粒度和定制化的安全審計流程,當前的所有智能汽車應用平臺都沒有必要的安全性審計測試,結果導致許多汽車移動應用可能會不知不覺地將獲取駕駛者的重要數據,或者對智能汽車進行惡意操控,將駕駛者置于風險之中。
因此,市場迫切需要一個把 OBD 端口、車載系統、汽車應用商店安全審計、車聯網產品安全滲透測試整合到一起的全面的安全解決方案,并能滿足不同車主不同的安全防要求。同時,相關車聯網產品廠商需要對自己的軟硬件產品做深度安全測試,確保不被黑客利用把攻擊帶入到車里。