设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

发动机防盗控制系统被曝可被远程攻击

2015-12-15 09:06| 发布者: 随便、先森。| 查看: 1050| 评论: 0|来自: FreeBuf

摘要: 一位新西兰专家发现,因为一个漏洞的存在,数以万计的发动机防盗控制系统可被远程攻击。黑客利用该漏洞能够远程定位、窃听、访问私人信息,甚至在某些情况下能够停止对发动机的燃料供应。此外,在用于追踪孩子的手表 ...

一位新西兰专家发现,因为一个漏洞的存在,数以万计的发动机防盗控制系统可被远程攻击。黑客利用该漏洞能够远程定位、窃听、访问私人信息,甚至在某些情况下能够停止对发动机的燃料供应。此外,在用于追踪孩子的手表中,ThinkRace使用了相同的追踪器,攻击者同样可以远程窃听孩子并追踪他们的行踪。

漏洞原理及影响

新西兰的Lachlan Temple(@skooooch)发现,数以万计的发动机防盗控制系统可被远程攻击。在一款很受欢迎的廉价汽车追踪和防盗控制系统中,这位专家发现了一个漏洞,黑客利用该漏洞能够远程定位、窃听,甚至在某些情况下能够停止对发动机的燃料供应,更令人担忧的是,即使汽车在行驶的过程中也可做到这一点。

一旦用户将这款发动机防盗控制系统安装到他们的汽车上,他们就能够远程追踪汽车、停止引擎、麦克风录音、地理防御和追踪汽车的动向。另外,攻击者还能够利用该漏洞访问用户的私人信息,包括电话号码,或者通过防盗控制系统中的麦克风窃听汽车内的声音。

该产品由不同的供应商供应,包括中国的ThinkRace。与此同时,在澳大利亚该发动机防盗控制系统的品牌为“Response”,在电子产品连锁店JayCar中的售价大约为150美元。

在市场上的一个可用模型能够控制汽车燃料泵,该功能用来实现远程停止一辆被偷的车。然而,Temple发现,攻击者可以利用会话cookie管理器中的一个漏洞来启用这个功能。这意味着,当你正在驾驶汽车的时候,某个地方的一个人就能够关闭你的引擎。

安全建议

Temple在惠灵顿举办的Kiwicon安全会议上展示了他的研究成果,他还说道目前只要黑客登录了包括demo账户在内的任何账户,利用该漏洞无需密码就可登录36万辆ThinkRace引擎中的任何一个。

Temple建议用户将继电器连接到启动电机上,这样在行驶的过程中黑客就不能远程关闭引擎了,并且在关闭引擎之后也能够防止黑客远程启动它。

Temple还发现,ThinkRace在出售的用于追踪孩子的手表中,使用了相同的追踪器。在这种情况下,攻击者同样可以远程窃听孩子并追踪他们的行踪。

Temple声称,接下来他将测试市场上更昂贵的跟踪解决方案,包括商业车队上使用的发动机防盗控制系统。

*原文地址:SecurityAffairs,FB小编JackFree编译


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
分享个ddos网页端反射攻击的API源码
分享个ddos网页端反
先上图 实测源码没问题 API服务器需要安装SSH2扩展库 其他的按照源码里的注释配置
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
返回顶部