Gogoro 車主小心!如果手機(jī)感染惡意程序的話,攻擊者可以輕易偷走你的 Gogoro!臺(tái)科大資管系副教授查士朝團(tuán)隊(duì),研究低功率藍(lán)牙與物聯(lián)網(wǎng)產(chǎn)品的安全時(shí),發(fā)現(xiàn)了 Gogoro 的三大資安弱點(diǎn),首次在中國臺(tái)灣黑客年會(huì) HITCON 揭露 App 傳輸?shù)娘L(fēng)險(xiǎn),研究團(tuán)隊(duì)已回報(bào) Gogoro,而 Gogoro 也已針對(duì)資安弱點(diǎn)做出更新修復(fù)。
專門研究物聯(lián)網(wǎng)設(shè)備的研究團(tuán)隊(duì)在 2016 年 4 月時(shí)發(fā)現(xiàn) Gogoro 的 3 個(gè)安全漏洞,回報(bào)到 HITCON ZeroDay 平臺(tái),平臺(tái)則通報(bào) Gogoro 有安全風(fēng)險(xiǎn),隨后 Gogoro 已陸續(xù)修復(fù)。
戴辰宇強(qiáng)調(diào),“Gogoro 車子本身的安全機(jī)制沒有問題,但手機(jī)是很不可靠的東西,比芯片鑰匙還不安全,所以需要更慎重設(shè)計(jì)機(jī)制,來保護(hù)軟件的通訊安全!”
弱點(diǎn) 1:App 中的金鑰被存在不安全的目錄下
在 HITCON 發(fā)布 Gogoro 資安風(fēng)險(xiǎn)的臺(tái)科大資管系學(xué)生戴辰宇表示,控制 Gogoro 的方式是使用手機(jī) App,手機(jī)就像是鑰匙圈一樣,所有 Gogoro 的資訊都被存在程序的“金鑰”中,包括車牌號(hào)碼、車主個(gè)人資料和上次停車前斷線的位置,然而這把金鑰,卻存在不安全的目錄之下。
黑客甚至不需要在 Gogoro 旁邊,就可以偷走“金鑰”。黑客有很多種方式,讓使用者曝露在安全風(fēng)險(xiǎn)之中,Gogoro 車主只要亂點(diǎn)鏈接、亂下載 App,不小心就會(huì)感染惡意程序。戴辰宇舉例,“如果你不小心下載了假的 Pokémon Go,很可能就會(huì)被植入木馬病毒,黑客就可能把你手機(jī)里的“加密金鑰”偷走!”
▲ 戴辰宇在 HITCON 年會(huì)上代表研究團(tuán)隊(duì)介紹 Gogoro 的三大資安風(fēng)險(xiǎn),只要金鑰被偷走的話,黑客就能把 Gogoro 騎走。
或是,黑客只要跟使用者一起在咖啡廳使用網(wǎng)絡(luò),只要咖啡廳網(wǎng)絡(luò)被控制,而使用者又剛好上 Gogoro 網(wǎng)站看資訊的話,黑客就可以透過剛攔截的資訊,把車子發(fā)動(dòng)并騎走。
偷走金鑰之后,怎么找得到車子呢?由于 Gogoro 的功能會(huì)記錄上次停車的位置,所以黑客找到你的 Gogoro 之后,并在另一支手機(jī)重現(xiàn)金鑰,就能發(fā)動(dòng)車子,把電動(dòng)摩托車騎走;或者,黑客只要在你的手機(jī)中植入有 GPS 地圖的惡意程序,也能知道你的位置。
在研究團(tuán)隊(duì)回報(bào)這個(gè)漏洞之后,Gogoro 已在 4 月修復(fù)這個(gè)問題,目前也沒有 Gogoro 被偷的情況發(fā)生。
弱點(diǎn) 2:App 到云端的 SLL 加密有檢查的問題
所有上網(wǎng)的 App 在上網(wǎng)的過程中,從 App 到云端都要經(jīng)過 SLL 加密檢查驗(yàn)證,一開始 Gogoro 把金鑰放在云端服務(wù)器上,登錄之后才傳送到 App。從 App 到云端過程中的資訊很有可能被攔截,代表金鑰很有可能被取得。這個(gè)問題 Gogoro 已經(jīng)在 7 月修復(fù)。
弱點(diǎn) 3:每一次重新配對(duì)不會(huì)換新的金鑰
Gogoro 目前的設(shè)計(jì)是只要手機(jī)和車子一配對(duì)之后,會(huì)產(chǎn)生一組永久的金鑰,如果手機(jī)不見,或是Gogoro 二手車,就會(huì)產(chǎn)生別人也取得同樣一把金鑰的問題。不過,一般的汽摩托車也會(huì)有被偷的問題。而目前這個(gè)問題尚未被 Gogoro 官方修復(fù)。
但話說回來,黑客這么大費(fèi)周章偷走 Gogoro 其實(shí)沒有太大意義,因?yàn)?Gogoro 本身就有防盜機(jī)制,每臺(tái)車都有它的序號(hào),被偷的車沒電之后,到換電站換電池時(shí)就會(huì)被禁止換電池。
物聯(lián)網(wǎng)設(shè)備常見問題:配對(duì)沒加密
物聯(lián)網(wǎng)設(shè)備往往要與 App 配對(duì),才能連線使用。戴辰宇說,其實(shí)低功率藍(lán)牙 4.0 內(nèi)建的安全機(jī)制很不錯(cuò),但是因?yàn)檫@個(gè)機(jī)制有許多限制,所以很少廠商真的使用安全機(jī)制,往往號(hào)稱 App 和連網(wǎng)設(shè)備配對(duì)時(shí)有加密,但實(shí)際上卻沒有。研究團(tuán)隊(duì)測(cè)了燈泡、溫度計(jì)、耳溫槍、手環(huán)、體重計(jì)等等超過十幾款連網(wǎng)產(chǎn)品,卻只有一個(gè)耳溫槍的配對(duì)有加密。
如果連網(wǎng)產(chǎn)品配對(duì)沒加密時(shí)會(huì)怎樣?戴辰宇比喻,“就像你在量體重的時(shí)候,其實(shí)旁邊的人用網(wǎng)絡(luò)封包監(jiān)聽設(shè)備(sniffer)例如 Ubertooth One,就可以知道你的體重是多少。”
你可能覺得就算體重或計(jì)步器的資訊被偷走也不會(huì)怎樣,但根據(jù)賓漢頓大學(xué)和史蒂文斯理工學(xué)院最新的研究指出,有追蹤功能的穿戴式運(yùn)動(dòng)手環(huán),由于可以準(zhǔn)確記錄使用者手部震動(dòng)的動(dòng)作,以至于能還原你在 ATM 輸入的銀行帳戶密碼。
事實(shí)上,這些問題不是 Gogoro 專屬的資安問題,只要是用手機(jī)控制的連網(wǎng)產(chǎn)品,都會(huì)面臨差不多的風(fēng)險(xiǎn),黑客取得連網(wǎng)設(shè)備的資訊之后,有可能把你家中的冷氣、冰箱、電視打開耗電等。