freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

发动机防盗控制系统被曝可被远程攻击
2015-12-15 05:20:09

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

一位新西兰专家发现,因为一个漏洞的存在,数以万计的发动机防盗控制系统可被远程攻击。黑客利用该漏洞能够远程定位、窃听、访问私人信息,甚至在某些情况下能够停止对发动机的燃料供应。此外,在用于追踪孩子的手表中,ThinkRace使用了相同的追踪器,攻击者同样可以远程窃听孩子并追踪他们的行踪。

漏洞原理及影响

新西兰的Lachlan Temple(@skooooch)发现,数以万计的发动机防盗控制系统可被远程攻击。在一款很受欢迎的廉价汽车追踪和防盗控制系统中,这位专家发现了一个漏洞,黑客利用该漏洞能够远程定位、窃听,甚至在某些情况下能够停止对发动机的燃料供应,更令人担忧的是,即使汽车在行驶的过程中也可做到这一点。

一旦用户将这款发动机防盗控制系统安装到他们的汽车上,他们就能够远程追踪汽车、停止引擎、麦克风录音、地理防御和追踪汽车的动向。另外,攻击者还能够利用该漏洞访问用户的私人信息,包括电话号码,或者通过防盗控制系统中的麦克风窃听汽车内的声音。

该产品由不同的供应商供应,包括中国的ThinkRace。与此同时,在澳大利亚该发动机防盗控制系统的品牌为“Response”,在电子产品连锁店JayCar中的售价大约为150美元。

在市场上的一个可用模型能够控制汽车燃料泵,该功能用来实现远程停止一辆被偷的车。然而,Temple发现,攻击者可以利用会话cookie管理器中的一个漏洞来启用这个功能。这意味着,当你正在驾驶汽车的时候,某个地方的一个人就能够关闭你的引擎。

安全建议

Temple在惠灵顿举办的Kiwicon安全会议上展示了他的研究成果,他还说道目前只要黑客登录了包括demo账户在内的任何账户,利用该漏洞无需密码就可登录36万辆ThinkRace引擎中的任何一个。

Temple建议用户将继电器连接到启动电机上,这样在行驶的过程中黑客就不能远程关闭引擎了,并且在关闭引擎之后也能够防止黑客远程启动它。

Temple还发现,ThinkRace在出售的用于追踪孩子的手表中,使用了相同的追踪器。在这种情况下,攻击者同样可以远程窃听孩子并追踪他们的行踪。

Temple声称,接下来他将测试市场上更昂贵的跟踪解决方案,包括商业车队上使用的发动机防盗控制系统。

*原文地址:SecurityAffairs,FB小编JackFree编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # 窃听 # 远程控制 # 定位 # 发动机 # 防盗控制系统
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑