可远程开走通用汽车的黑客设备OwnStar

标签: 资讯 通用汽车 | 发表时间:2015-07-31 20:01 | 作者:cindy
出处:http://www.freebuf.com

汽车安全愈发严峻,黑客与极客们不断的开发新技能、新设备以攻破汽车。从去年极棒现场破解特斯拉,到今年的 宝马汽车漏洞,都在暗示着汽车行业安全需严肃以待。

有安全研究人员开发了一个名为OwnStar的小设备,它可以劫持移动APPOnStar RemoteLink(OnStar公司出品的汽车辅助手机应用)的流量,对通用汽车进行远程定位、解锁和启动。该设备由安全研究员、硬件黑客Samy Kamkar研发。Kamkar热衷于寻找各系统的安全问题,包括车库门、无线键盘、无人机等。最近新研发的OwnStar设备,只需简单的向OnStar服务器发送几个特殊的数据包即可远程控制用户汽车。

这不正是偷车贼梦寐以求的东西嘛!

OwnStar的使用方法

‍‍OwnStar的使用条件是:要想法设法接近正在使用RemoteLink移动APP的用户,然后用OwnStar设备劫持应用程序发向OnStar服务器的请求。由此,不法分子就可以掌控RemoteLink应用程序所处理的全部功能,如解锁、远程启动汽车。‍‍

Kamkar在视频中演示了攻击细节:

只要目标用户在OwnStar设备周围打开了RemoteLink移动应用程序,OwnStar就会劫持其上的通信,然后向手机端发送精心构造的数据包,以获得更多的信息,如地理位置、制造商、型号等。


值得注意的一点是,该漏洞是RemoteLink移动APP上的漏洞,而不是汽车本身的漏洞。

FreeBuf百科:OnStar公司

OnStar,通用汽车子公司,为通用提供车载安全和通讯服务。服务的涵盖面非常广,包括远程故障诊断、应急服务、碰撞检测和警报、道路救援、远程解锁、导航等。而RemoteLink移动应用程序则可以通过手机管理汽车的一些功能。

Kamkar已经将该问题通知给了GM(通用)汽车公司,GM也在第一时间给予了回应,目前正在紧急修复中。Kamkar计划在下周的DEF CON会议上公开其中的细节,值得一提的是,他不仅会公开通用汽车的安全问题,还会公开其他汽车公司的安全问题。

安全建议

建议用户暂时禁用RemoteLink移动应用程序,直至OnStar修复了该漏洞。

* 参考来源 threatpost ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关 [通用汽车 黑客 设备] 推荐:

可远程开走通用汽车的黑客设备OwnStar

- - FreeBuf.COM | 关注黑客与极客
汽车安全愈发严峻,黑客与极客们不断的开发新技能、新设备以攻破汽车. 从去年极棒现场破解特斯拉,到今年的 宝马汽车漏洞,都在暗示着汽车行业安全需严肃以待. 有安全研究人员开发了一个名为OwnStar的小设备,它可以劫持移动APPOnStar RemoteLink(OnStar公司出品的汽车辅助手机应用)的流量,对通用汽车进行远程定位、解锁和启动.

通用汽车(GM)开始量产 Spark EV 电动汽车

- 俊峰 - Engadget 中国版
通用汽车(General Motors)今年一直在谈电动汽车的事情,最新的消息是它们要将全电动版的「Spark」小车量产了. 取名为「Spark EV 」的这款电动小车将在 2013 年问世,到时在美国将会「限量」供车. 通用汽车还没有公布太多关于「Spark EV」的详细规格,只提到这台车将会采用 A123 Systems 的 nanophosphate 锂电池.

通用汽车前副总裁:汽车行业的末日已经到来

- - 爱范儿
通用汽车公司的前副总裁、产品开发主管 Bob Lutz 在 Autonews 网站发布文章,认为汽车时代即将结束. “汽车行业的变革正在加速……在过去的 120 年里,人类的主要交通工具是汽车. 如今,汽车的末日即将到来,因为人们出行乘坐的是标准化的驾驶舱. 他认为,随着汽车完全自动驾驶,驾驶人员已经不再有任何作用.

你相信吗?几乎所有医疗设备都可被黑客入侵

- - 博客园_新闻
美国知名科技媒体《连线》长期撰稿人吉姆-曾特(Kim Zetter)日前对现代医院医疗设备领域所面临的风险展开了一次详尽的调查. 在调查中,曾特发现目前医院所使用的大多数医疗设备都存在着被黑客入侵的风险,而这一风险甚至可能会造成致命的后果. 然而,许多医疗机构还是出于这样或那样的原因没有对此给予足够的重视.

物联网设备正面临黑客威胁,我们该怎么办?

- - 极客公园
现在,物联网设备正变得越来越多,物联网已经逐渐渗透到我们生活的各个角落. 据 Gartner 发布的报告显示,2017 年全球物联网设备数量约达到 84 亿,而全球目前有 75 亿人口,也就是说,物联网设备的数量已经超过了全球人口数. Gartner 还预测,到 2020 年,物联网设备数量将达到 204 亿,消费者和企业在物联网硬件方面的支出总和将达到约人民币 20.7 万亿元.

通用汽车解雇15名涉及掩盖点火开关缺陷的雇员

- - Solidot
通用汽车公司的点火开关缺陷导致至少13人死亡,260万辆汽车召回,3500万美元罚款,设立基金赔偿受害者家庭. 而通用公司的雇员早在2002年就知道了缺陷,并悄悄修改了开关. 15名通用员工因为不当行为和不称职被开除,包括负责法规事务的副总裁Michael J. Robinson和负责产品责任案件的资深律师William Kemp,两名安全主管Gay Kent和Carmen Benavides,以及两名中层工程师Raymond DeGiorgio和Gary Altman.

黑客与画家

- Terry - DBA Notes
四月份读的最好的一本书是 Paul Graham 的大作 《黑客与画家》(中文版),这是一本能引发技术人思考的佳作,真正意义上的黑客精神、创业(Start-up)、编程语言,是这本技术散文集的三个主题. 阮一峰的翻译很到位,很喜欢他的译文. 国内做技术图书的翻译属于"高投入低回报"的工作,能埋头做事情的人越来越少了.

黑客GeoHot入职Facebook

- 开忆 - cnBeta.COM
黑客Geohot的Facebook资料中刚刚出现了他的踪迹,这名之前曾经被索尼法务围追堵截后来和解的黑客刚刚入职了Facebook,并且从言语上看他对这个工作环境非常满意. GeoHot大约在今年5月份就已经入职,到6月17日才把这个消息公布给他的朋友们.

世界黑客排名

- 2楼水饺 - 煎蛋
黑客世界也有这自己的排名,如果你打算雇佣牛逼黑客做点xxxx事情,不妨看看这个网站 RankMyHack.com ,它号称是世界上第一个黑客排名系统. 除了能够收集到一些黑客战绩和信息之外,RankMyHack.com 还开放给任何一个想加入该排名的盆友. 提交你的战绩,然后将RankMyHack 给出的一段代码插入到你所黑掉的网站予以证明.

读《黑客与画家》

- Calon - Soulogic 灵魂逻辑
其实《黑客与画家》是提前预订的,所以一发售就看了,但现在才动手写读后感,实在是因为回味无穷. 这本随笔集包含了很多观点,对我而言最重要那部分,就是押题的那段:真正的程序员跟画家是如此相似. 其实我以前也有类似的模糊印象,但一直没法说清楚:. 额外的一个话题,我发现很多人都在 Google Profile 上都写着职业 Engineer.