Gogoro 車主小心!如果手機感染惡意程序的話,攻擊者可以輕易偷走你的 Gogoro!臺科大資管系副教授查士朝團隊,研究低功率藍牙與物聯網產品的安全時,發現了 Gogoro 的三大資安弱點,首次在中國臺灣黑客年會 HITCON 揭露 App 傳輸的風險,研究團隊已回報 Gogoro,而 Gogoro 也已針對資安弱點做出更新修復。
專門研究物聯網設備的研究團隊在 2016 年 4 月時發現 Gogoro 的 3 個安全漏洞,回報到 HITCON ZeroDay 平臺,平臺則通報 Gogoro 有安全風險,隨后 Gogoro 已陸續修復。
戴辰宇強調,“Gogoro 車子本身的安全機制沒有問題,但手機是很不可靠的東西,比芯片鑰匙還不安全,所以需要更慎重設計機制,來保護軟件的通訊安全!”
弱點 1:App 中的金鑰被存在不安全的目錄下
在 HITCON 發布 Gogoro 資安風險的臺科大資管系學生戴辰宇表示,控制 Gogoro 的方式是使用手機 App,手機就像是鑰匙圈一樣,所有 Gogoro 的資訊都被存在程序的“金鑰”中,包括車牌號碼、車主個人資料和上次停車前斷線的位置,然而這把金鑰,卻存在不安全的目錄之下。
黑客甚至不需要在 Gogoro 旁邊,就可以偷走“金鑰”。黑客有很多種方式,讓使用者曝露在安全風險之中,Gogoro 車主只要亂點鏈接、亂下載 App,不小心就會感染惡意程序。戴辰宇舉例,“如果你不小心下載了假的 Pokémon Go,很可能就會被植入木馬病毒,黑客就可能把你手機里的“加密金鑰”偷走!”
▲ 戴辰宇在 HITCON 年會上代表研究團隊介紹 Gogoro 的三大資安風險,只要金鑰被偷走的話,黑客就能把 Gogoro 騎走。
或是,黑客只要跟使用者一起在咖啡廳使用網絡,只要咖啡廳網絡被控制,而使用者又剛好上 Gogoro 網站看資訊的話,黑客就可以透過剛攔截的資訊,把車子發動并騎走。
偷走金鑰之后,怎么找得到車子呢?由于 Gogoro 的功能會記錄上次停車的位置,所以黑客找到你的 Gogoro 之后,并在另一支手機重現金鑰,就能發動車子,把電動摩托車騎走;或者,黑客只要在你的手機中植入有 GPS 地圖的惡意程序,也能知道你的位置。
在研究團隊回報這個漏洞之后,Gogoro 已在 4 月修復這個問題,目前也沒有 Gogoro 被偷的情況發生。
弱點 2:App 到云端的 SLL 加密有檢查的問題
所有上網的 App 在上網的過程中,從 App 到云端都要經過 SLL 加密檢查驗證,一開始 Gogoro 把金鑰放在云端服務器上,登錄之后才傳送到 App。從 App 到云端過程中的資訊很有可能被攔截,代表金鑰很有可能被取得。這個問題 Gogoro 已經在 7 月修復。
弱點 3:每一次重新配對不會換新的金鑰
Gogoro 目前的設計是只要手機和車子一配對之后,會產生一組永久的金鑰,如果手機不見,或是Gogoro 二手車,就會產生別人也取得同樣一把金鑰的問題。不過,一般的汽摩托車也會有被偷的問題。而目前這個問題尚未被 Gogoro 官方修復。
但話說回來,黑客這么大費周章偷走 Gogoro 其實沒有太大意義,因為 Gogoro 本身就有防盜機制,每臺車都有它的序號,被偷的車沒電之后,到換電站換電池時就會被禁止換電池。
物聯網設備常見問題:配對沒加密
物聯網設備往往要與 App 配對,才能連線使用。戴辰宇說,其實低功率藍牙 4.0 內建的安全機制很不錯,但是因為這個機制有許多限制,所以很少廠商真的使用安全機制,往往號稱 App 和連網設備配對時有加密,但實際上卻沒有。研究團隊測了燈泡、溫度計、耳溫槍、手環、體重計等等超過十幾款連網產品,卻只有一個耳溫槍的配對有加密。
如果連網產品配對沒加密時會怎樣?戴辰宇比喻,“就像你在量體重的時候,其實旁邊的人用網絡封包監聽設備(sniffer)例如 Ubertooth One,就可以知道你的體重是多少。”
你可能覺得就算體重或計步器的資訊被偷走也不會怎樣,但根據賓漢頓大學和史蒂文斯理工學院最新的研究指出,有追蹤功能的穿戴式運動手環,由于可以準確記錄使用者手部震動的動作,以至于能還原你在 ATM 輸入的銀行帳戶密碼。
事實上,這些問題不是 Gogoro 專屬的資安問題,只要是用手機控制的連網產品,都會面臨差不多的風險,黑客取得連網設備的資訊之后,有可能把你家中的冷氣、冰箱、電視打開耗電等。
京公網安備 11010502049343號