主页 > K稿生活 >Gogoro 三大资安风险揭密,小心所有物联网产品 >
Gogoro 三大资安风险揭密,小心所有物联网产品

2020-06-07


Gogoro 三大资安风险揭密,小心所有物联网产品

Gogoro 车主小心!如果手机感染恶意程式的话,攻击者可以轻易偷走你的 Gogoro!台科大资管系副教授查士朝团队,研究低功率蓝牙与物联网产品的安全时,发现了 Gogoro 的三大资安弱点,首次在台湾骇客年会 HITCON 揭露 App 传输的风险,研究团队已回报 Gogoro,而 Gogoro 也已针对资安弱点做出更新修复。

专门研究物联网装置的研究团队在 2016 年 4 月时发现 Gogoro 的 3 个安全漏洞,回报到 HITCON ZeroDay 平台,平台则通报 Gogoro 有安全风险,随后 Gogoro 已陆续修复。

戴辰宇强调,「Gogoro 车子本身的安全机制没有问题,但手机是很不可靠的东西,比晶片钥匙还不安全,所以需要更慎重设计机制,来保护软体的通讯安全!」

弱点 1:App 中的金钥被存在不安全的目录下

在 HITCON 发表 Gogoro 资安风险的台科大资管系学生戴辰宇表示,控制 Gogoro 的方式是使用手机 App,手机就像是钥匙圈一样,所有 Gogoro 的资讯都被存在程式的「金钥」中,包括车牌号码、车主个人资料和上次停车前断线的位置,然而这把金钥,却存在不安全的目录之下。

骇客甚至不需要在 Gogoro 旁边,就可以偷走「金钥」。骇客有很多种方式,让使用者曝露在安全风险之中,Gogoro 车主只要乱点连结、乱下载 App,不小心就会感染恶意程式。戴辰宇举例,「如果你不小心下载了假的 Pokémon Go,很可能就会被植入木马病毒,骇客就可能把你手机里的「加密金钥」偷走!」

Gogoro 三大资安风险揭密,小心所有物联网产品 戴辰宇在 HITCON 年会上代表研究团队介绍 Gogoro 的三大资安风险,只要金钥被偷走的话,骇客就能把 Gogoro 骑走。

或是,骇客只要跟使用者一起在咖啡厅使用网路,只要咖啡厅网路被控制,而使用者又刚好上 Gogoro 网站看资讯的话,骇客就可以透过刚拦截的资讯,把车子发动并骑走。

偷走金钥之后,怎幺找得到车子呢?由于 Gogoro 的功能会记录上次停车的位置,所以骇客找到你的 Gogoro 之后,并在另一支手机重现金钥,就能发动车子,把电动机车骑走;或者,骇客只要在你的手机中植入有 GPS 地图的恶意程式,也能知道你的位置。

在研究团队回报这个漏洞之后,Gogoro 已在 4 月修复这个问题,目前也没有 Gogoro 被偷的情况发生。

弱点 2:App 到云端的 SLL 加密有检查的问题

所有上网的 App 在上网的过程中,从 App 到云端都要经过 SLL 加密检查验证,一开始 Gogoro 把金钥放在云端伺服器上,登录之后才传送到 App。从 App 到云端过程中的资讯很有可能被拦截,代表金钥很有可能被取得。这个问题 Gogoro 已经在 7 月修复。

弱点 3:每一次重新配对不会换新的金钥

Gogoro 目前的设计是只要手机和车子一配对之后,会产生一组永久的金钥,如果手机不见,或是Gogoro 二手车,就会产生别人也取得同样一把金钥的问题。不过,一般的汽机车也会有被偷的问题。而目前这个问题尚未被 Gogoro 官方修复。

但话说回来,骇客这幺大费周章偷走 Gogoro 其实没有太大意义,因为 Gogoro 本身就有防盗机制,每台车都有它的序号,被偷的车没电之后,到换电站换电池时就会被禁止换电池。

物联网装置常见问题:配对没加密

物联网装置往往要与 App 配对,才能连线使用。戴辰宇说,其实低功率蓝牙 4.0 内建的安全机制很不错,但是因为这个机制有许多限制,所以很少厂商真的使用安全机制,往往号称 App 和连网装置配对时有加密,但实际上却没有。研究团队测了灯泡、温度计、耳温枪、手环、体重计等等超过十几款连网产品,却只有一个耳温枪的配对有加密。

如果连网产品配对没加密时会怎样?戴辰宇比喻,「就像你在量体重的时候,其实旁边的人用网路封包监听设备(sniffer)例如 Ubertooth One,就可以知道你的体重是多少。」

你可能觉得就算体重或计步器的资讯被偷走也不会怎样,但根据宾汉顿大学和史蒂文斯理工学院最新的研究指出,有追蹤功能的穿戴式运动手环,由于可以準确记录使用者手部震动的动作,以至于能还原你在 ATM 输入的银行帐户密码。

事实上,这些问题不是 Gogoro 专属的资安问题,只要是用手机控制的连网产品,都会面临差不多的风险,骇客取得连网装置的资讯之后,有可能把你家中的冷气、冰箱、电视打开耗电等。



上一篇:
下一篇:


相关文章
今日焦点
一周热榜