Gogoro 三大资安风险揭密,小心所有物联网产品

发布时间:2016-10-24  

0626-gogoro-624x428

Gogoro 车主小心!如果手机感染恶意程序的话,攻击者可以轻易偷走你的 Gogoro!台科大资管系副教授查士朝团队,研究低功率蓝牙与物联网产品的安全时,发现了 Gogoro 的三大资安弱点,首次在中国台湾黑客年会 HITCON 揭露 App 传输的风险,研究团队已回报 Gogoro,而 Gogoro 也已针对资安弱点做出更新修复。

专门研究物联网设备的研究团队在 2016 年 4 月时发现 Gogoro 的 3 个安全漏洞,回报到 HITCON ZeroDay 平台,平台则通报 Gogoro 有安全风险,随后 Gogoro 已陆续修复。

戴辰宇强调,“Gogoro 车子本身的安全机制没有问题,但手机是很不可靠的东西,比芯片钥匙还不安全,所以需要更慎重设计机制,来保护软件的通讯安全!”

弱点 1:App 中的金钥被存在不安全的目录下

在 HITCON 发布 Gogoro 资安风险的台科大资管系学生戴辰宇表示,控制 Gogoro 的方式是使用手机 App,手机就像是钥匙圈一样,所有 Gogoro 的资讯都被存在程序的“金钥”中,包括车牌号码、车主个人资料和上次停车前断线的位置,然而这把金钥,却存在不安全的目录之下。

黑客甚至不需要在 Gogoro 旁边,就可以偷走“金钥”。黑客有很多种方式,让使用者曝露在安全风险之中,Gogoro 车主只要乱点链接、乱下载 App,不小心就会感染恶意程序。戴辰宇举例,“如果你不小心下载了假的 Pokémon Go,很可能就会被植入木马病毒,黑客就可能把你手机里的“加密金钥”偷走!”

数码时代配图

▲ 戴辰宇在 HITCON 年会上代表研究团队介绍 Gogoro 的三大资安风险,只要金钥被偷走的话,黑客就能把 Gogoro 骑走。

或是,黑客只要跟使用者一起在咖啡厅使用网络,只要咖啡厅网络被控制,而使用者又刚好上 Gogoro 网站看资讯的话,黑客就可以透过刚拦截的资讯,把车子发动并骑走。

偷走金钥之后,怎么找得到车子呢?由于 Gogoro 的功能会记录上次停车的位置,所以黑客找到你的 Gogoro 之后,并在另一支手机重现金钥,就能发动车子,把电动摩托车骑走;或者,黑客只要在你的手机中植入有 GPS 地图的恶意程序,也能知道你的位置。

在研究团队回报这个漏洞之后,Gogoro 已在 4 月修复这个问题,目前也没有 Gogoro 被偷的情况发生。

弱点 2:App 到云端的 SLL 加密有检查的问题

所有上网的 App 在上网的过程中,从 App 到云端都要经过 SLL 加密检查验证,一开始 Gogoro 把金钥放在云端服务器上,登录之后才传送到 App。从 App 到云端过程中的资讯很有可能被拦截,代表金钥很有可能被取得。这个问题 Gogoro 已经在 7 月修复。

弱点 3:每一次重新配对不会换新的金钥

Gogoro 目前的设计是只要手机和车子一配对之后,会产生一组永久的金钥,如果手机不见,或是Gogoro 二手车,就会产生别人也取得同样一把金钥的问题。不过,一般的汽摩托车也会有被偷的问题。而目前这个问题尚未被 Gogoro 官方修复。

但话说回来,黑客这么大费周章偷走 Gogoro 其实没有太大意义,因为 Gogoro 本身就有防盗机制,每台车都有它的序号,被偷的车没电之后,到换电站换电池时就会被禁止换电池。

物联网设备常见问题:配对没加密

物联网设备往往要与 App 配对,才能连线使用。戴辰宇说,其实低功率蓝牙 4.0 内建的安全机制很不错,但是因为这个机制有许多限制,所以很少厂商真的使用安全机制,往往号称 App 和连网设备配对时有加密,但实际上却没有。研究团队测了灯泡、温度计、耳温枪、手环、体重计等等超过十几款连网产品,却只有一个耳温枪的配对有加密。

如果连网产品配对没加密时会怎样?戴辰宇比喻,“就像你在量体重的时候,其实旁边的人用网络封包监听设备(sniffer)例如 Ubertooth One,就可以知道你的体重是多少。”

你可能觉得就算体重或计步器的资讯被偷走也不会怎样,但根据宾汉顿大学和史蒂文斯理工学院最新的研究指出,有追踪功能的穿戴式运动手环,由于可以准确记录使用者手部震动的动作,以至于能还原你在 ATM 输入的银行帐户密码。

事实上,这些问题不是 Gogoro 专属的资安问题,只要是用手机控制的连网产品,都会面临差不多的风险,黑客取得连网设备的资讯之后,有可能把你家中的冷气、冰箱、电视打开耗电等。

(本文由 数码时代 授权转载;首图来源:科技新报)

如需获取更多资讯,请关注微信公众账号:半导体行业观察

责任编辑:mooreelite
文章来源于:半导体行业观察    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。
服务
平台入驻

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

原厂代理商合作

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

闲置物料合作

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

生态合作

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

加工与定制类服务商合作

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

线上代理合作

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

邮件营销及广告服务

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>