聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
犯罪分子使用小工具干扰汽车的控制系统,而这些工具有时就隐藏在看似无害的蓝牙扬声器或手机中。几乎无需任何技术专业知识,而且无需车钥匙,盗贼就能开走一辆汽车,而偷盗过程最短可缩短至15秒钟。在网上,这类工具只需几千美元即可买到,大大降低了盗取甚至是豪车的难度。
从Motherboard 找到的盗车视频来看,有人使用一台诺基亚3310启动了一辆丰田车。视频中,一名坐在丰田驾驶座的男子不断敲打方向盘旁边的一个按钮。引擎未能启动,红灯闪烁。由于他没有带钥匙,因此他拿出了一个常见的东西:诺基亚3310手机。该男子通过一根黑色的数据线将手机连接到车上。他在诺基亚手机很小的LCD屏上选择了几个选项,屏幕显示“连接。获取数据。”之后,他再次尝试启动汽车,这次引擎启动,灯变绿。
有报道称,网站和 Telegram 频道上有很多出售这种工具的商家,售价在2700美元至19600美元不等。一名商家对一台诺基亚3310的售价是3500欧元(折合3800美元),而另外一名商家的报价是4300美元。
Motherboard 公司的员工假装成买家沟通时,一名在线出售引擎启动器的买家生成将通过敦豪快递将设备发至美国。卖家表示,“是的,诺基亚适用于美国汽车。”即引擎启动器隐藏在一台诺基亚手机中。卖家表示接受西联、速汇金、银行转账和密币形式付款。
另外一则卖家则在含有打着JBL标识的一款蓝牙扬声器的设备广告中表示,“JBL 解锁+启动”以及“无需车钥匙”。JBL是世界上最大的扬声器制造商。这则广告提到,丰田、雷克萨斯等汽车适用这种特殊设备,“我们设备的隐身风格和样式非常酷”。
车辆网络安全公司 Canis Labs 的首席技术官 Ken Tindell 在一份邮件中表示,“该设备能替他们完成所有的工作,他们需要做的不过是拔出设备中的两根线,拆下大灯并将这些线放到连接器车辆端的正确洞口中。”去年,Tindell自己的丰田 RAV4 就被这种设备盗走,之后他和另外一名同事 Ian Tabor 购买了用于逆向工程的设备。Tabor 研究后发现设备适用于吉普、奔驰等。
无钥匙中继器是厂商之前曾提到过的对抗工具。这些工具从受害者的车钥匙发出信号,但盗车贼并不需要车钥匙就能操作这些现代工具。尽管设备售价较高,但Tabor 购买的设备的零件只值10美元。这些工具攻陷了与控制器局域网 (CAN) 相关的芯片以及包括 CAN 硬件和固件的芯片。这种攻击被称为 CAN 注入,两人提到这种方法传播似乎源自车辆智能钥匙接收器的虚假信息。
Tindell 提到,唯一有效的补救措施是在CAN 信息中增加加密防护措施,他认为软件更新可能可以做到这一点。他表示,“软件是最简单的,唯一复杂的地方是可能引入密钥管理基础设施。但由于新的车辆平台已经在部署加密解决方案,因此该基础设施要么已部署,要么反正是要部署的。”
丰田北美公司的联网通信高级经理 Corey Proffitt 指出,该公司已知致力于与防盗专家、法律部门和其他关键利益相关者协作解决此类问题。
题图:Pixabay License
文内图:网络
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):无需钥匙,一台老旧手机诺基亚 3310就能开走豪车
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论