Gogoro 車主小心!如果手機感染惡意程式的話,攻擊者可以輕易偷走你的 Gogoro!台科大資管系副教授查士朝團隊,研究低功率藍牙與物聯網產品的安全時,發現了 Gogoro 的三大資安弱點,首次在台灣駭客年會 HITCON 揭露 App 傳輸的風險,研究團隊已回報 Gogoro,而 Gogoro 也已針對資安弱點做出更新修復。
專門研究物聯網裝置的研究團隊在 2016 年 4 月時發現 Gogoro 的 3 個安全漏洞,回報到 HITCON ZeroDay 平台,平台則通報 Gogoro 有安全風險,隨後 Gogoro 已陸續修復。
戴辰宇強調,「Gogoro 車子本身的安全機制沒有問題,但手機是很不可靠的東西,比晶片鑰匙還不安全,所以需要更慎重設計機制,來保護軟體的通訊安全!」
弱點 1:App 中的金鑰被存在不安全的目錄下
在 HITCON 發表 Gogoro 資安風險的台科大資管系學生戴辰宇表示,控制 Gogoro 的方式是使用手機 App,手機就像是鑰匙圈一樣,所有 Gogoro 的資訊都被存在程式的「金鑰」中,包括車牌號碼、車主個人資料和上次停車前斷線的位置,然而這把金鑰,卻存在不安全的目錄之下。
駭客甚至不需要在 Gogoro 旁邊,就可以偷走「金鑰」。駭客有很多種方式,讓使用者曝露在安全風險之中,Gogoro 車主只要亂點連結、亂下載 App,不小心就會感染惡意程式。戴辰宇舉例,「如果你不小心下載了假的 Pokémon Go,很可能就會被植入木馬病毒,駭客就可能把你手機裡的「加密金鑰」偷走!」
▲ 戴辰宇在 HITCON 年會上代表研究團隊介紹 Gogoro 的三大資安風險,只要金鑰被偷走的話,駭客就能把 Gogoro 騎走。
或是,駭客只要跟使用者一起在咖啡廳使用網路,只要咖啡廳網路被控制,而使用者又剛好上 Gogoro 網站看資訊的話,駭客就可以透過剛攔截的資訊,把車子發動並騎走。
偷走金鑰之後,怎麼找得到車子呢?由於 Gogoro 的功能會記錄上次停車的位置,所以駭客找到你的 Gogoro 之後,並在另一支手機重現金鑰,就能發動車子,把電動機車騎走;或者,駭客只要在你的手機中植入有 GPS 地圖的惡意程式,也能知道你的位置。
在研究團隊回報這個漏洞之後,Gogoro 已在 4 月修復這個問題,目前也沒有 Gogoro 被偷的情況發生。
弱點 2:App 到雲端的 SLL 加密有檢查的問題
所有上網的 App 在上網的過程中,從 App 到雲端都要經過 SLL 加密檢查驗證,一開始 Gogoro 把金鑰放在雲端伺服器上,登錄之後才傳送到 App。從 App 到雲端過程中的資訊很有可能被攔截,代表金鑰很有可能被取得。這個問題 Gogoro 已經在 7 月修復。
弱點 3:每一次重新配對不會換新的金鑰
Gogoro 目前的設計是只要手機和車子一配對之後,會產生一組永久的金鑰,如果手機不見,或是Gogoro 二手車,就會產生別人也取得同樣一把金鑰的問題。不過,一般的汽機車也會有被偷的問題。而目前這個問題尚未被 Gogoro 官方修復。
但話說回來,駭客這麼大費周章偷走 Gogoro 其實沒有太大意義,因為 Gogoro 本身就有防盜機制,每台車都有它的序號,被偷的車沒電之後,到換電站換電池時就會被禁止換電池。
物聯網裝置常見問題:配對沒加密
物聯網裝置往往要與 App 配對,才能連線使用。戴辰宇說,其實低功率藍牙 4.0 內建的安全機制很不錯,但是因為這個機制有許多限制,所以很少廠商真的使用安全機制,往往號稱 App 和連網裝置配對時有加密,但實際上卻沒有。研究團隊測了燈泡、溫度計、耳溫槍、手環、體重計等等超過十幾款連網產品,卻只有一個耳溫槍的配對有加密。
如果連網產品配對沒加密時會怎樣?戴辰宇比喻,「就像你在量體重的時候,其實旁邊的人用網路封包監聽設備(sniffer)例如 Ubertooth One,就可以知道你的體重是多少。」
你可能覺得就算體重或計步器的資訊被偷走也不會怎樣,但根據賓漢頓大學和史蒂文斯理工學院最新的研究指出,有追蹤功能的穿戴式運動手環,由於可以準確記錄使用者手部震動的動作,以至於能還原你在 ATM 輸入的銀行帳戶密碼。
事實上,這些問題不是 Gogoro 專屬的資安問題,只要是用手機控制的連網產品,都會面臨差不多的風險,駭客取得連網裝置的資訊之後,有可能把你家中的冷氣、冰箱、電視打開耗電等。
(本文由 數位時代 授權轉載;首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
