日前,DEF CON 23 黑客大会期间,研究员萨米·坎卡展示了一种名为 OwnStar 的设备,它允许您从某些通用汽车汽车的配套移动应用程序中窃取连接代码。因此,可以远程解锁或启动它们。该攻击依赖于移动应用程序未验证 TLS/SSL 证书的事实,轻易地为“中间人”拦截打开了大门。
但现在事实证明,其他制造商也存在此类漏洞。卡姆卡尔在推特上表示,他可以对宝马、梅赛德斯-奔驰和克莱斯勒的汽车进行同样的攻击。他相应地更新了自己的OwnStar设备。
https://twitter.com/samykamkar/status/631883931021742080
不过,无需惊慌。根据一个小工具,安全研究人员将在大约三十天内不会发布新的源代码,只是为了给三个制造商时间来创建和分发他们的补丁。在此之前,宝马、梅赛德斯或克莱斯勒的车主被邀请不要使用他们的移动应用程序。
下面是 Samy Kamkar 创建的拦截装置:
