偷走一辆带有车联网功能的比亚迪汽车有多难?


发布人:admin分类:网络安全浏览量:30发布时间:2017-12-12

近两年车联网如同智能手机的增长趋势一样,正在快速度发展。特斯拉汽车成为了车联网汽车发展的里程碑。在这之后国内很多厂家也纷纷推出了带有车联网功能的汽车。那么究竟搭载车联网的汽车有什么功能呢?

要使用车联网需要先下载一个手机APP,通过个人账号密码和车联网之后,就可以对自己的汽车进行一系列的远程控制:开关车门,调节空调,车况检测,实时车况,位置服务。

车联网APP除了装逼之外,并没什么卵用

然而这些功能给用户带来了良好的体验之外(装逼),其实并没有什么卵用。同时还会因为安全问题引入不少麻烦。


回顾一下比亚迪汽车企业在车联网之前爆露出来的一个云平台的漏洞,由于云服务存在严重安全漏洞,黑客可以编写程序获取任意车主的信息(姓名、车牌号、车架号、身份证号、第二联系人姓名、手机号等)和控制密码。

用户输入手机号,浏览器发送ajax请求判断手机号是否存在,如果不存在,返回空

如果手机号存在,则返回车主信息(姓名、车牌号、车架号、身份证号、第二联系人姓名、手机号等)

其中有一个参数是ConrolPassword,这个参数内容就是车联网应用的密码。那么其实我们只要知道车主的手机号,就可以开走汽车了。

攻击场景如下:


移车电话留下攻击入口

我们在生活中经常看到有一些移车电话(一般城里比较拥挤,停车较难,会挡住其它的车)。这个电话都是车主使用的主要电话,可以通过这个电话号码利用漏洞拿到这辆车的控制密码。然后就可以把车辆车开走了。不要在跟我说你们没有车进行研究了,只是你们没有用心去发现。

当然这个漏洞已经被比亚迪修复了。比亚迪汽车在Hackpwn被破解也是利用的车联网方面的漏洞,不过当然不会那么简单了。不过这里要提示使用车联网汽车的车主,这种移车电话很有可能会造成你的汽车的丢失,还有车架号没有被盖住,也会造成同样的问题。

* 作者/刘健皓(360安全攻防实验室),信息参考:wooyun,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21460490(PV) 页面执行时间:85.099(MS)
  • xml
  • 网站地图