十年未被发现!现代汽车曝重大安全漏洞,黑客可远程解锁、启动汽车;安装量达 1500 万,这些诈骗软件专门针对发展中国家

VSole2022-12-04 07:38:52

现代汽车曝重大安全漏洞,黑客可远程解锁、启动汽车

据cybernews消息,现代汽车APP存在一个重大安全漏洞。利用这个漏洞,黑客可以远程解锁、启动汽车。更令业界感到惊讶的是,这个漏洞已经存在了10年之久,影响了自2012年生产的现代汽车,以及旗下高端品牌捷尼赛思汽车。但现代汽车发布公告称,该漏洞并未被广泛利用。

这两个APP的名称是MyHyundai 和 MyGenesis,允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆,可进一步提升车主的使用体验。

根据网络安全研究人员Sam Curry的说法,原本现代和捷尼赛思汽车的APP仅向授权用户提供车辆的控制权限,但是,该APP与授权服务器的通信之间存在一个严重的安全漏洞,导致攻击者可以轻易取得相应的权限。

Sam Curry在社交平台发文称,“我们注意到服务器不要求用户确认他们的电子邮件地址,此外还有一个非常松散的正则表达式,允许在您的电子邮件中使用控制字符。”

在深入研究绕过身份验证的可能方法后,Sam Curry和他的团队发现,在注册过程中,只需要在现有受害者电子邮件的末尾添加CRLF字符,攻击者就可以使用现有的电子邮件注册一个新帐户。

而这个新帐户将获得一个JSON网络令牌 (JWT),该令牌与服务器中的合法电子邮件相匹配,从而授予攻击者对目标车辆的访问权限。

Sam Curry发布消息称,“我们目前在确认,是否可以使用被篡改的 JWT 执行解锁或启动汽车等实际操作,如果真的可以做到这一点,那么将有可能全面接管所有远程启动的现代汽车和捷尼赛思汽车。

随后,有安全研究人员利用他们手里的一辆现代汽车来测试该漏洞。最终结果显示,使用受害者的电子邮件地址并添加 CRLF 字符,就可以让他们远程解锁链接了相应电子邮件地址的车辆。

有消息称,某些黑客团队也盯上了这个漏洞,甚至开发了一个python 脚本,只需要获取受害者的电子邮件地址,即可执行车辆上的所有命令,甚至接管车主的帐户。

目前,该漏洞已经报告给现代汽车公司,并且已经得到修复。在发布的公告中,现代汽车表示,经过调查后并未发现该漏洞被黑客利用了。

现代声称该公司调查了这个问题,并没有发现该漏洞在野外被利用,并强调利用该漏洞条件苛刻,“需要知道与特定现代汽车帐户和车辆相关的电子邮件地址,以及研究人员使用的特定网络脚本。”

而这似乎与目前不少安全人员发布的内容不太相符。

Yuga Labs公司的分析师称,只需要知道目标车辆识别号 (VIN),就有可能向端点发送伪造的 HTTP 请求,从而顺利利用该漏洞。

在实际情况中,车辆VIN 很容易在停放的汽车上获取,通常在仪表板与挡风玻璃相接的板上可见,攻击者可以轻松访问它。这些识别号码也可以在专门的汽车销售网站上找到,供潜在买家查看车辆的历史记录。

近年来,智能汽车产业正处于快速发展期,越来越多的安全专家们也开始将研究重点放在汽车攻击领域,发现了不少重量级汽车网络安全漏洞,包括远程解锁、启动、停止车辆等,成功向外界展示,攻击者是如何破坏车辆中的各种组件,涉及多个主流汽车品牌。

也正因为如此,汽车厂商们应进一步加大对网络安全的重视程度,并真切投入资源改善这种不安去的状况。汽车作为一个私密、封闭的个人空间,其安全性的重要性毋庸置疑,也是车主们选择汽车的重要衡量因素。

安装量达 1500 万,这些诈骗软件专门针对发展中国家

Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有欺诈性的条款使用户陷入贷款漩涡,并采用各种方法对借款人进行勒索和骚扰。

为了实现该行为的勒索企图,这些应用程序从手机中窃取了通常贷款不需要提供的大量隐私数据。

在网络安全公司Lookout的一份新报告中,研究人员发现了251个安卓35个iOS的借贷应用,这些应用的下载量合计达1500万次,主要来自印度、哥伦比亚、墨西哥、尼日利亚、泰国、菲律宾和乌干达的用户。

Lookout向谷歌和苹果报告了所有这些应用的情况,并成功地将它们全部删除。

 欺诈性贷款应用程序 

这些贷款应用程序在发展中国家取得了巨大的收益,因为这些国家的金融机制问题,欺诈行为的报告不太可能被起诉。

在安装欺诈性贷款应用程序后,用户被要求授予风险权限,使欺诈者能够访问设备上的敏感信息,如联系人列表、短信内容、照片、媒体等。

一旦授予权限,应用程序立即开始从设备中上传敏感数据到他们自己的服务器。

如果用户不批准这些权限请求,应用程序将不允许他们提交贷款请求。

在第一次启动时,被要求授予权限,并且要求用户填写KYC(了解你的客户)表格,要求提供身份证的信息,等等。

接下来,这些应用程序向用户提供欺骗性或虚假的贷款条款,促使他们贷款。

当受害者收到部分贷款时,利率条款会发生变化,或者出现之前的隐藏费用,有时会达到总借款额的三分之一。

一些用户还报告说,这些应用程序将还款期从承诺的180天减少到只有8天,在逾期时征收高额利息和罚款。

由于大多数人无法接受,没有能力或不愿意偿还贷款。应用程序运营商则开始利用第一阶段窃取的数据对他们进行骚扰,从通讯录中联系他们的家人和朋友并透露债务情况。

甚至运营商将从用户设备上盗取的图片经过编辑发送给联系人,对贷款人造成极大的困扰。

 苹果和谷歌进行了干预 

苹果和谷歌允许小额贷款应用程序在其应用程序商店中使用,但有严格的政策来规范其运作。

准则规定,最短的还款期应该是60天,最高的年收费百分比应该是36%。

上述应用程序声称条款符合这些准则,但在实际应用中,并不像他们所说的这样,所以应用程序商店因违反条款而将其删除。

当然,还需要进行更多的检查,以防止这些应用程序的运营商以不同的名字重新向应用程序商店提交这类应用程序。同时用户在下载时也应该保持警惕,防止不合规的条款盗取我们的信息。

软件汽车
本作品采用《CC 协议》,转载必须注明作者和本文链接
移动应用的普及使得用户可以“随时、随地、随心”地享受互联网业务带来的各种便捷,比如更丰富的企业业务种类、更多的企业个性化服务和更高的企业服务质量保证。
近日,Automotive IQ发布了2022年汽车软件开发现状调查报告。报告调查了全球近600名汽车开发专业人士,主要调查结果显示,随着汽车市场继续快速发展,人们对汽车软件安全的关注日益增加。
汽车整车生产企业实施的OTA升级活动,应进行备案。
Salesforce的一项调查报告显示:汽车行业的人员安全意识大大低于各行业平均水平。
在新一轮科技革命和产业变革背景下,智能网联汽车是新兴技术与汽车产业融合创新的重要组成部分,汽车已不再是孤立的单元,而逐步成为智能交通、智慧能源、智慧城市等系统的重要载体和节点,被视为可移动的智能网络终端。随着人工智能、信息通信技术加速发展和跨界融合,智能网联汽车与外界的交互手段不断丰富,智能网联汽车在积极融入网络时代的同时,也不可避免地面临信息安全问题。2015年,两名黑客实现远程操控行驶中的切诺
现代汽车近日披露发生数据泄漏事件,意大利和法国车主以及预订试驾数据遭泄露。现代汽车是一家跨国汽车制造商,每年在欧洲销售超过五十万辆汽车,在法国和意大利的市场份额约为3%。近年来现代汽车遭受了一系列网络安全问题的困扰。根据美国交通部的统计,利用该漏洞的汽车盗窃行为已经导致14起可证实车祸和8起人员伤亡事件。
进入2023年,随着我们踏上边缘计算的旅程,大多数(如果不是全部)行业都在数字化层面上发展。但汽车行业正在经历另一个层面的技术创新。
尽管汽车制造商越来越重视网络安全,但随着汽车向“轮子上的软件平台”迈进,随着各种新功能的快速采用,联网汽车也逐渐成为了恶意黑客的攻击目标。
近日,由工业和信息化部与山东省人民政府共同举办的“世界先进制造业大会”在济南举行。大会期间,作为面向智能网联与新能源汽车产业的平行论坛,“智能网联与新能源汽车产业发展高峰论坛”同期举行。
VSole
网络安全专家