卡巴斯基：7款常见连网汽车App安全堪虑，甚至恐遭远端开门或启动

随着汽车业掀起智慧化浪潮，愈来愈多车子搭载资讯系统及app以提供音乐、地图、影片播放等功能。但本周在RSA安全会议上公布的一项安全研究显示数款主要知名品牌车辆的Android app有多种安全疑虑。

卡巴斯基两位安全研究员Victor Chebyshev 与 Mikhail Kuzin 搜集了 市面上最常见的7款车用Android app，这些App之中不乏下载次数动辄数十或百万的热门应用程式。在这项研究中，研究人员检视的项目包括是否包含危险功能，导致车辆被窃或某功能被关闭／开启、是否有防止逆向工程的机制、是否使用根目录权限、有无保护app的GUI不被曝露、以及app是否检查完整性，像是程式是不是遭到变更等。

经过分析，研究人员发现所有车辆App都可被用来远端开启车门、其中4款可被启动引擎。另外，6项App用户帐号都没有加密，其中2款连密码也曝光。更糟的是，程式码混淆、程式介面覆盖、根目录权限使用侦测及app完整性的检查等一般app会有的安全防护机制，所有7款app全部付之阙如。

7款受测汽车App安装数量如下，App图式遭安全研究员模糊化处理。

目前安全人员尚未发现有针对这些app的攻击，而未发现有下载app组态档的程式码。但研究人员指出，现代木马程式相当厉害，可能将app组态档上传给外部C&C服务器，或删改组态档内容，要做坏事并不是什么难事。例如车辆警报系统是透过简讯指令操作，只要在用户手机植入木马程式后，搜寻手机内和汽车指令有关的简讯，取得用户电话及密码，即能让攻击者远端开启车门。

研究人员指出，价值不斐的车子需要的安全防护不下于银行帐号。现在车商及开发人员因应市场需求为车子加上崭新的功能，却忽略了连网汽车的安全性的考量不只有后端基础架构及网路连线，前端app也是整体安全的一环。 研究人员并未公布app的名称，但已经向研究结果告知这些车商。

事实上，已经有众多研究人员示范，可以利用恶意程式骇入汽车，造成车门开启、行进间打滑，甚至被当成跳板 入侵 家中智慧灯泡。