汽车报警器是一种安装在车上的报警装置。如果有人击打、撞击或移动汽车,传感器就会向控制器发送信号,指示震动强度。根据震动的强度,控制器会发出表示警告的声音或者全面拉响警报。以此来震慑偷盗者,并提示通知车主。车主给汽车安装警报器想要使汽车更加安全,事实上,警报器也是一把双刃剑,这些警报器可以造成驾驶时引擎停止,甚至可能会利用其而丢失汽车。作为保护安全的装置,它竟然会威胁到300多万辆汽车的安全!
在一个国外技术团队购买安装了几个高端智能汽车警报器后,发现了这两家公司最火爆的警报产品都存在安全漏洞,这些漏洞可导致黑客攻击汽车:汽车的实时位置;车型和车主的详细信息;警报禁用;解锁汽车;启用和禁用防盗装置;在某些情况下,停止汽车引擎;控制汽车上的麦克风;利用警报盗取车辆。而以上这些竟然影响了全球300多万辆汽车!一家汽车警报器供应商,宣称自己的产品安全性不可动摇,这个声明对于安全研究人员来说,就像是一头公牛前面不停舞动的红布。于是开始对警报器产品的研究,随着漏洞提交到这家公司,他们删除了这条信息。
令人震惊的是,报警器行业内的两个大品牌:Viper和Pandora,一开始就在API中发现了不安全直接对象引用(IDOR),这是一种较低级的漏洞。只需篡改某个参数,即可在未经身份验证的情况下更新用户注册的电子邮件地址,然后通过密码重置功能直接接管帐户。另外,攻击者还可以特定车辆进行定位和跟踪,使其停住并解锁车门。这对汽车和司机的安全来说都是很大的威胁。注意,以上漏洞都是我们在安装警报器前就发现的,现在我们将把这些产品安装在汽车上进行实地测试。
Viper智能警报器
这是一个IDOR漏洞,存在于“修改用户”请求中。虽然除了这一个API之外,其他所有的API都会进行身份验证,但/users/Update/xxxxx请求却没有进行有效验证。因此,攻击者就可以通过发送恶意请求来修改用户的密码,并控制账户来与汽车警报系统进行交互,而合法用户将无法登陆账号,并且无法访问他们的汽车警报系统。
示例如下:
脚本运行截图:
Pandora漏洞分析
这是一个存在于POST请求中的IDOR漏洞,请求位于“email“这个JSON参数中,请求信息如下:
因此,攻击者可以修改用户的邮件,并发送密码重置请求。密码重置之后,他们就可以登录App并获取到账户和警报器的完整控制权了。值得一提的是,这种方式还可以攻击管理员用户,即管理多台汽车的用户。
以上所述攻击任何人都可以发动。而且,无需购买这两种产品你也可以在相关系统创建帐户。这两家厂商都允许他人创建测试/模拟帐户。使用模拟账户,你也可以攻击他人账户。
现在来演示一辆路虎:
接下来,来实时定位车辆位置:
然后开车在后面跟随:
关闭警报器和闪光灯,假设司机现在还不明白原因,于是下车查看。但是,由于我们设置了防盗装置,所以无法开走。而且我们已经取消了受害者的访问权限,因此他们无法重置防盗锁。我们还克隆了警报器的钥匙,这样就可以用手机解锁汽车了。
现在我们就可以“正常”的开走汽车了。我们还可以停止安装了Viper的汽车的引擎,Pandora貌似也可以,但由于汽车型号问题,没有复现成功。这个停止引擎功能原本是用于截停被盗车辆。但被黑客利用后,就有可能产生严重后果。该功能在Viper应用的UI中不存在,但可以通过API使用。这个确实很吓人。Pandora警报器还能够进行SOS呼叫,所以有麦克风。但是由于上述提及的API的授权漏洞,攻击者可远程访问和启用麦克风,数以百万计的司机都会被黑客窃听谈话。
汽车报警器能够直接与CAN总线连接,这有助于减少报警器布线和安装所需的时间。高端警报器可以自动检测车辆类型,当警报未正确识别车辆时,安装人员就需要手动编程安装。报警器相关的编程必须使用笔记本电脑上的应用在本地完成,或者开启蓝牙的手机。在分析了固件,技术手册和相关的更新日志后,该技术团队发现,虽然只能用于特定车辆,如果车辆安装了Pandora警报器,而且汽车品牌是马自达6,揽胜运动,起亚Quoris,丰田Fortuner,三菱帕杰罗,丰田普锐斯50和RAV4中的一个,注意:黑客有可能能远程控制汽车的巡航速度!这在API说明中并没有展示。
此外,黑客还可以发送虚假信息,模拟汽车的制动和启动。我们联系了相关厂商,并要求他们7天内删除或修复这些API。这个时间远远低于我们通常和厂商说的90天。因为这些漏洞很容易找到,且易于修复,某些API并不是必须的。用户体验可能会受到影响,但并不会完全无法使用产品。
如车主已安装了这些警报,建议断开警报器的网络连接,等待漏洞完全修复。保守估计表明,其中涉及价值1500亿美元的车辆。这些警报器没有添加任何额外的安全措施来防止密钥中继攻击,在漏洞修复之前,它实际上让三百万辆汽车更不安全!
原文始发于微信公众号(汽车产业安全应急响应中心):300多万辆汽车竟然被它控制了