日前,DEF CON 23 黑客大會期間,研究員薩米·坎卡展示了一種名為 OwnStar 的設備,它允許您從某些通用汽車汽車的配套行動應用程式中竊取連接代碼。因此,可以遠端解鎖或啟動它們。該攻擊依賴於行動應用程式未驗證 TLS/SSL 憑證的事實,輕易地為「中間人」攔截打開了大門。
但現在事實證明,其他製造商也存在此類漏洞。卡姆卡爾在推特上表示,他可以對寶馬、賓士和克萊斯勒的汽車進行同樣的攻擊。他相應地更新了自己的OwnStar設備。
https://twitter.com/samykamkar/status/631883931021742080
不過,無需驚慌。根據一個小工具,安全研究人員將在大約三十天內不會發布新的源代碼,只是為了給三個製造商時間來創建和分發他們的補丁。在此之前,寶馬、梅賽德斯或克萊斯勒的車主被邀請不要使用他們的行動應用程式。
下面是 Samy Kamkar 所建立的攔截裝置:
