CarBlues蓝牙攻击预计影响数以千万计的车辆

iso60001  210天前

CarsBlues攻击利用了几类车辆上的信息娱乐系统,其可以通过蓝牙去访问用户标识(PII)。

Privacy4Cars警告说,一种新的蓝牙黑客技术,被称为CarsBlues,有可能会影响数百万辆汽车。CarsBlues攻击通过蓝牙利用了安装在几类车辆上的信息娱乐系统中的安全漏洞,它会影响已经将智能手机与汽车同步的用户。(https://www.privacy4cars.com/can-my-car-be-hacked/default.aspx

Privacy4Cars开发了一个移动应用程序,用于从车辆中删除PII,据该公司称,全球数以千万计的车辆可能受到影响,这还是一个乐观的估计,因为数量可能比预计的要大的多。

该攻击最危险的场景是将手机与租借或刚归还的车辆同步的司机。他们的隐私数据可能会暴露给攻击者,并用于各种非正当的目的。

“攻击可以用廉价且容易获得的硬件和软件在几分钟内完成攻击,而且这还不需要大量的技术知识。”该公司发布的报告中写道。

“基于这些发现,我们相信,全球范围内将手机与现代汽车同步的所有用户都可能受到隐私泄露的威胁。据估计,全球流通中的几十万辆汽车将会受到影响,但随着对更多车辆的评估,这个数字将会上升到几百万辆。”

22.png

该攻击技术是由Privacy4Cars创始人Andrea Amico在2018年2月发现的,他立即通知了汽车信息共享和分析中心(Auto-ISAC)。

AmiCo与AutoISAC合作,解释了攻击者十如何从受影响的车辆中窃取PII的。攻击者可以访问已存储的联系人、呼叫日志、文本日志,在某些情况下还可以访问文本消息,而且无需将用户的手机连接到系统。

而对司机来说,好消息是,至少厂商已经提供了更新,最新车型将免受CarsBlues攻击。

“现在我们已经完成与Auto-ISAC的信息交换,我们正在把我们的重点转向向工厂和公众宣传关于在车辆系统中留下个人信息的风险,”Amico解释道。

“由于CarsBlues攻击易于复制,可在不易察觉的情况下对多种目标进行攻击目标,且检测该攻击难度较高,所以,司机们主动删除车载娱乐系统中用户信息是最有效的防御措施。”

Privacy4Cars建议司机在允许其他终端接入车辆系统时先从信息娱乐系统中删除个人数据。

该公司还敦促监管机构提出保护消费者数据的指导建议,并迫使汽车厂商帮助客户删除在系统中的个人信息。

原文链接:https://securityaffairs.co/wordpress/78183/hacking/carsblues-carsblues-bluetooth-attack.html

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号