Nissan用叶电动汽车应用程序打破基本安全规则
前政府数字首席迈克布拉肯为GDS同事带来了合作团体
CommVault Drops Simpana品牌并添加功能
Google设置为使用Android的ChromeOS合并
Inforum 2015欧洲:Infor Targets多数云收入
EMC和VMware推出了使用Virtustream品牌的管理混合云合资企业
RBS宣布与Facebook工作合作
埃森哲和Stemettes缺乏多城市活动的女性榜样
面试:内阁办公室部长Matt Hancock关于数字政府
趋势科技说,乌克兰网络攻击超越电力公司
HMRC分享IT转型计划的详细信息
澳大利亚的外包数据中心在云计算后面上升
Astrazeneca IT Insourcing超出了预期
欧洲联盟通过了淡化的网络中立法律
埃森哲将六个国家分析计划加强了橄榄球队和vr
社会排斥,物联网和数据隐私是数字经济面临的最大问题
索尔福德委员会将千兆纤维纳入公共住房
Theresa可能会对监督票据承诺强烈监督
埃森哲在澳大利亚城市珀斯建立数据科学家基地
Veeam将虚拟存储作为备份目标添加
亚太地区最先进的数据中心来到东盟
财务业将在未来两年内投资超过1亿美元
海泰将如何影响东盟云景观
新的欧洲规则,帮助解决网络和其他犯罪
贝恩和公司帮助HMRC远离Aspire合同
安全港口的爱尔兰排加热
TalkTalk DataBreac区达到155,000名客户
Centurylink考虑出售其数据中心的资产
Christie加快了SPC图表以改善临床过程
451 Research表示,CIO必须开始计划5G 5G
德国铁路和运输集团在战争中转向虚拟现实
BCS呼吁刑事定为鲁莽的数据披露
社交工程确认为顶级信息安全威胁
NHS 24工作人员未经IT系统直播,健康委员会承认
马来西亚在其硅谷等同于智能交通系统
宽带和BT体育欧洲的BT收入增长2%
未来的GDS计划在2015年圣诞节前宣布
由于石油价格下跌,BP被迫将其工作人员减少约30%
移动攻击更加恶毒,阴险和恶意,说蓝色外套
Facebook到大修英国公司纳税制度 - 报告
OpenStack准备批量收养吗?
爱尔兰医院为2016年11月提供患者患者进入纪录
健身俱乐部将迅速招募新员工
451研究警告软件定义的基础设施技能差距
建造150万英镑的生物量动力数据中心开始于苏格兰
NHS和政府部门的HMRC增值税规则将云成本降低20%
面试:Till Wirth,英国政府产品经理,在GDS支付
峰会告诉英国企业和警察成长Cyber​​ Capities
Opera在Oracle上选择工作日,因为它将HR移动到云
RSA正在进行积极的转型,说amit yoran说
您的位置:首页 >产品 > 商业评论 >

Nissan用叶电动汽车应用程序打破基本安全规则

2021-06-07 19:19:27 [来源]:

日产从安全专家遭到破坏基本安全规则的火灾,使其叶电动车易于破解Web浏览器。

澳大利亚的安全研究员特洛伊捕除了黑客如何劫持车辆的供暖和空调系统,识别他们最近的旅程中的所有者和间谍。

Hunt确认日产Connect应用程序只需要访问的车辆识别号码(VIN),这意味着任何了解或枚举车辆VIN的人都可以获得访问。

VINS通常在车窗上陷入困境,通常仅在最后五位数字中不同 - 这意味着攻击者可以编写脚本来完成所有可能的组合。

黑客可以利用缺乏认证,消耗汽车的电池和入侵所有者的隐私 - 但日产表示没有安全影响,并且由于联系公司,因此没有行动。

然而,该公司在一份声明中表示,它“致力于解决优先问题”,其全球技术和产品团队正在致力于“永久和强大”的解决方案。

亨特说,虽然黑客不会影响车辆的驾驶控制,但是,这很糟糕,因为这种方式的车辆控制的易于获取不容易变得更加简单 - 这是深刻的微不足道的“。

“随着汽车制造商急于加入互联网的东西热潮,安全不能是一个事后的事后,我们被告知他们认为他们在第一个地方没有认真对待它,”他写道博客帖子。

在他发现加拿大的叶子用户发现这个问题并在开放的在线论坛上讨论它后,他决定通过他的发现。

亨特说,直到日产修复这个问题,日产叶业主应该禁用他们的日产Carwings远程信息处理账户。从未注册的人没有风险。

从澳大利亚的网络浏览器中访问英国的换档业主,通过访问英国的帐户确认了安全风险。

他远程打开座椅和方向盘加热和空调系统,并找到了所有者的注册用户名和距离最近的旅程。然而,他说他无法找到位置数据,也无法在运动中访问汽车系统。

虽然狩猎认为日产应更加认真地承担这个问题,但他称赞该公司让安全研究人员很容易迅速到达合适的人民。

“他们是接受的,而且 - 虽然我显然将很喜欢快速看到这一点 - 与大多数道德披露经历的安全研​​究相比,日产是典范的,”他写道。

安全研究人员经常抱怨公司通常没有负责任的披露程序,使得难以讨论他们发现的安全缺陷。

在2015年8月在拉斯维加斯的Thedef Con 23hacker会议上,Security公司Rapid7每周告诉电脑 - 尽管安全漏洞的重要性披露 - 可以挑战与非安全公司的沟通渠道挑战。

安全公司Alienvault高级副总裁Richard Kirk表示,缺乏用户认证是最基本的安全错误之一。

“很难了解像日产的主要全球汽车制造商如何允许一个应用程序以这样的方式设计,并且在将应用程序放在App Store中之前,不执行某种程度的应用程序安全评估和穿透测试,”他说。

Kirk表示,如果Appor Car SystemDevelopers添加应用功能 - 例如远程门单锁定或远程发动机禁用 - 并假设应用程序本身是安全和安全的,那么可能存在严重的影响,包括汽车或其内容的盗窃,甚至是事故。

支持互联网的汽车业主应采取与数字生活的其他方面相同的预防措施 - 包括使用独特的安全密码而不是分享它们 - 他建议。

然而,不幸的是,汽车的所有者不能减轻尼斯曼康连接应用的安全缺陷,因为它是后端系统的一部分而不是应用程序本身,“他说。

Kirk表示,汽车制造商ingeneral应该适用试验和可信赖的原则以获得安全的应用程序开发,并加入了许多书籍在该主题上被释放了许多书籍,并且在这方面提供了众多的安全公司。

狩猎注意事项说明他的报告在同一周内巧合于日产在GSMA移动世界大会上公布了一片修订的叶子。

“显然,像许多汽车制造商一样,他们的未来涉及在他们的车辆中更大的连接力,”他说。

据亨特说,在添加到Nissanconnect应用程序的功能列表中,应用程序能够远程显示地图上的车辆位置并分析驾驶。

“虽然有明显的upsides来到有权访问这些功能的驱动程序,但看到他们在当前应用程序的安全实施中呈现的是很明显的原因非常令人担忧,”他写道。

Mark James,网络安全公司的安全专家ESET表示,如果他们真的需要将他们的汽车连接到互联网,请考虑互联网连通汽车的用户。

“最可能的答案是”否“,但如果您这样做,请确保您定期检查您发送的信息,大多数可以在每次更新后打开和关闭功能,然后在每次更新后检查功能。

“我们不再走向互联网连接世界,我们现在正在向下奔向任何东西,并在不考虑安全和安全的情况下连接的一切。”

他说,虽然它可能是不方便的才能在寒冷的早晨打开加热的座椅或方向盘,但它“比其他一部分私人生活更好地看到和掠夺”。

詹姆斯表示,汽车制造商应该了解,如果他们要从任何地方将车辆连接到互联网,他们必须确保身份验证。

“你用来销售汽车的每一个新功能或尖端优势的特点都必须从”如果被妥协的角度遭到损害的“怎么样,”他说。

“是的,我们希望我们的智能手机做一切 - 但我们也希望感到安全和安全。如果您的数据受到损害,并且您失去了贵重用户的信任,则具有远程功能的小优点将淡入微不足道。“

根据詹姆斯的说法,因为黑客无法直接与车辆沟通,所以不应通过暂停服务来阻止访问,直到它安全使用。

Craig Young,Tripwire的安全研究员表示,随着Connected汽车技术仍在其初期,很可能会有许多隐私和安全相关的问题。

“一般来说,任何服务 - 但特别是与连通汽车有关的服务 - 不应根据非私人数据进行身份验证,”他说。

据年轻,而不是VIN,日产应为汽车所有者提供认证令牌来登录并用作访问控制,以证明客户端被授权在特定车辆上执行操作。

“我建议日产考虑实施双因素身份验证以供增加保护。这可以像具有更多涉及的首次设置一样简单,其中移动设备被发出一个设备令牌,随后将在连接到服务时与用户名和密码一起发送,“他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。