专精于渗透测试的网络安全企业Pen Test Partners在研究多款高端汽车防盗系统之后,发现其中的两款:Pandora与Viper含有“不安全的对象参考”(Insecure Direct Object Reference,IDORs)漏洞,可被远程挟持,允许黑客直接盗走车辆或是让车辆在行进中停止,且由于它们可与汽车上的控制器局域网络(Con troller Area Network,CAN)交互,因而允许黑客自远程调整特定车款的巡航定速,涵盖Mazda 6、Range Rover Sport、Kia Quoris、Toyota Fortuner、Mitsubishi Pajero、Toyota Prius 50及RAV4等。
Pandora与Viper皆属于高端的汽车防盗系统,标榜能消弭免钥匙汽车的钥匙中继攻击(Key Relay Attack),然而,研究人员却发现,这些防盗系统甚至让汽车更不安全,隐含在其中的安全漏洞将允许黑客取得汽车位置,得知汽车型号与车主信息,关闭警报器,解锁汽车,打开或关闭防盗系统,允许黑客拦停正在行驶中的汽车,甚至是直接盗走汽车。
研究人员指出,通常只有高端的汽车才会添购汽车防盗系统,估计相关漏洞将让价值1,500亿美元的汽车暴露于安全风险中。
由于其中的Pandora曾经在官网上吹嘘该公司的产品牢不可破(Unhackable),更提高了研究人员的斗志,Pen Test Partners形容,这就如同是在斗牛场上以挥舞的红布挑衅公牛一般。
但令人惊讶的是,Pandora及Viper汽车防盗系统上的API漏洞都是属于相对主动的IDOR漏洞,只要变更参数就能修改用户帐号的电子邮件地址,请求密码重设,进而取得帐号的控制权,这样一来就能关注汽车位置、拦停汽车或解锁车门。
其中,Viper防盗系统是由第三方企业CalAmp提供后端架构,在变更用户的请求上存在IDOR漏洞,Pandora防盗系统的IDOR漏洞则是位于POST请求中,皆允许黑客取得帐号控制权。
此外,不论是Pandora或Viper都能发送定制化的CAN消息,假设警报系统无法识别车款或提供自动支持,即允许用户手动撰写警报程序,在分析固件、操作手册与更新日志之后,显示特定车种将允许Pandora的警报API自远程调整7种车款的巡航定速速度。
有鉴于这些都是容易被黑入、也相对容易修补的严重漏洞,因此Pen Test Partners只给了企业7天的时间进行修补,而Pandora与Viper也都在限期内修补完成。