Gogoro 车主小心!如果手机感染恶意程式的话,攻击者可以轻易偷走你的 Gogoro!台科大资管系副教授查士朝团队,研究低功率蓝牙与物联网产品的安全时,发现了 Gogoro 的三大资安弱点,首次在台湾骇客年会 HITCON 揭露 App 传输的风险,研究团队已回报 Gogoro,而 Gogoro 也已针对资安弱点做出更新修复。
专门研究物联网装置的研究团队在 2016 年 4 月时发现 Gogoro 的 3 个安全漏洞,回报到 HITCON ZeroDay 平台,平台则通报 Gogoro 有安全风险,随后 Gogoro 已陆续修复。
戴辰宇强调,“Gogoro 车子本身的安全机制没有问题,但手机是很不可靠的东西,比芯片钥匙还不安全,所以需要更慎重设计机制,来保护软件的通讯安全!”
弱点 1:App 中的金钥被存在不安全的目录下
在 HITCON 发表 Gogoro 资安风险的台科大资管系学生戴辰宇表示,控制 Gogoro 的方式是使用手机 App,手机就像是钥匙圈一样,所有 Gogoro 的资讯都被存在程式的“金钥”中,包括车牌号码、车主个人资料和上次停车前断线的位置,然而这把金钥,却存在不安全的目录之下。
骇客甚至不需要在 Gogoro 旁边,就可以偷走“金钥”。骇客有很多种方式,让使用者曝露在安全风险之中,Gogoro 车主只要乱点连结、乱下载 App,不小心就会感染恶意程式。戴辰宇举例,“如果你不小心下载了假的 Pokémon Go,很可能就会被植入木马病毒,骇客就可能把你手机里的“加密金钥”偷走!”
▲ 戴辰宇在 HITCON 年会上代表研究团队介绍 Gogoro 的三大资安风险,只要金钥被偷走的话,骇客就能把 Gogoro 骑走。
或是,骇客只要跟使用者一起在咖啡厅使用网络,只要咖啡厅网络被控制,而使用者又刚好上 Gogoro 网站看资讯的话,骇客就可以透过刚拦截的资讯,把车子发动并骑走。
偷走金钥之后,怎么找得到车子呢?由于 Gogoro 的功能会记录上次停车的位置,所以骇客找到你的 Gogoro 之后,并在另一支手机重现金钥,就能发动车子,把电动机车骑走;或者,骇客只要在你的手机中植入有 GPS 地图的恶意程式,也能知道你的位置。
在研究团队回报这个漏洞之后,Gogoro 已在 4 月修复这个问题,目前也没有 Gogoro 被偷的情况发生。
弱点 2:App 到云端的 SLL 加密有检查的问题
所有上网的 App 在上网的过程中,从 App 到云端都要经过 SLL 加密检查验证,一开始 Gogoro 把金钥放在云端服务器上,登录之后才传送到 App。从 App 到云端过程中的资讯很有可能被拦截,代表金钥很有可能被取得。这个问题 Gogoro 已经在 7 月修复。
弱点 3:每一次重新配对不会换新的金钥
Gogoro 目前的设计是只要手机和车子一配对之后,会产生一组永久的金钥,如果手机不见,或是Gogoro 二手车,就会产生别人也取得同样一把金钥的问题。不过,一般的汽机车也会有被偷的问题。而目前这个问题尚未被 Gogoro 官方修复。
但话说回来,骇客这么大费周章偷走 Gogoro 其实没有太大意义,因为 Gogoro 本身就有防盗机制,每台车都有它的序号,被偷的车没电之后,到换电站换电池时就会被禁止换电池。
物联网装置常见问题:配对没加密
物联网装置往往要与 App 配对,才能连线使用。戴辰宇说,其实低功率蓝牙 4.0 内建的安全机制很不错,但是因为这个机制有许多限制,所以很少厂商真的使用安全机制,往往号称 App 和连网装置配对时有加密,但实际上却没有。研究团队测了灯泡、温度计、耳温枪、手环、体重计等等超过十几款连网产品,却只有一个耳温枪的配对有加密。
如果连网产品配对没加密时会怎样?戴辰宇比喻,“就像你在量体重的时候,其实旁边的人用网络封包监听设备(sniffer)例如 Ubertooth One,就可以知道你的体重是多少。”
你可能觉得就算体重或计步器的资讯被偷走也不会怎样,但根据宾汉顿大学和史蒂文斯理工学院最新的研究指出,有追踪功能的穿戴式运动手环,由于可以准确记录使用者手部震动的动作,以至于能还原你在 ATM 输入的银行账户密码。
事实上,这些问题不是 Gogoro 专属的资安问题,只要是用手机控制的连网产品,都会面临差不多的风险,骇客取得连网装置的资讯之后,有可能把你家中的冷气、冰箱、电视打开耗电等。
(本文由 数位时代 授权转载;首图来源:科技新报)