Gogoro車主小心!如果手機感染惡意程式的話,攻擊者可以輕易偷走你的Gogoro!台科大資管系副教授查士朝團隊,研究低功率藍牙與物聯網產 品的安全時,發現了Gogoro的三大資安弱點,首次在台灣駭客年會HITCON揭露App傳輸的風險,研究團隊已回報Gogoro,而Gogoro也已 針對資安弱點做出更新修復。
專門研究物聯網裝置的研究團隊在2016年4月時發現Gogoro的三個安全漏洞,回報到HITCON ZeroDay平台,平台則通報Gogoro有安全風險,隨後Gogoro已陸續修復。
戴辰宇強調,「Gogoro車子本身的安全機制沒有問題,但手機是很不可靠的東西,比晶片鑰匙還不安全,所以需要更慎重設計機制,來保護軟體的通訊安全!」
弱點1:App中的金鑰被存在不安全的目錄下
在HITCON發表Gogoro資安風險的台科大資管系學生戴辰宇表示,控制Gogoro的方式是使用手機App,手機就像是鑰匙圈一樣,所有 Gogoro的資訊都被存在程式的「金鑰」中,包括車牌號碼、車主個人資料和上次停車前斷線的位置,然而這把金鑰,卻存在不安全的目錄之下。
駭客甚至不需要在Gogoro旁邊,就可以偷走「金鑰」。駭客有很多種方式,讓使用者曝露在安全風險之中,Gogoro車主只要亂點連結、亂下載App,不小心就會感染惡意程式。戴辰宇舉例,「如果你不小心下載了假的Pokémon Go,很可能就會被植入木馬病毒,駭客就可能把你手機裡的「加密金鑰」偷走!」
(圖說:戴辰宇在HITCON年會上代表研究團隊介紹Gogoro的三大資安風險,只要金鑰被偷走的話,駭客就能把Gogoro騎走。圖片來源:郭芝榕攝影。)
或是,駭客只要跟使用者一起在咖啡廳使用網路,只要咖啡廳網路被控制,而使用者又剛好上Gogoro網站看資訊的話,駭客就可以透過剛攔截的資訊,把車子發動並騎走。
偷走金鑰之後,怎麼找得到車子呢?由於Gogoro的功能會記錄上次停車的位置,所以駭客找到你的Gogoro之後,並在另一支手機重現金鑰,就能發動車子,把電動機車騎走!或者,駭客只要在你的手機中植入有GPS地圖的惡意程式,也能知道你的位置。
在研究團隊回報這個漏洞之後,Gogoro已在四月修復這個問題,目前也沒有Gogoro被偷的情況發生。
弱點2:App到雲端的SSL加密有檢查的問題
所有上網的App在上網的過程中,從App到雲端都要經過SSL加密檢查驗證,一開始Gogoro把金鑰放在雲端伺服器上,登錄之後才傳送到App。從App到雲端過程中的資訊很有可能被攔截,代表金鑰很有可能被取得。這個問題Gogoro已經在七月修復。
弱點3:每一次重新配對不會換新的金鑰
Gogoro目前的設計是只要手機和車子一配對之後,會產生一組永久的金鑰,如果手機不見,或是Gogoro二手車,就會產生別人也取得同樣一把金鑰的問題。不過,一般的汽機車也會有被偷的問題。而目前這個問題尚未被Gogoro官方修復。
但話說回來,駭客這麼大費周章偷走Gogoro其實沒有太大意義,因為Gogoro本身就有防盜機制,每台車都有它的序號,被偷的車沒電之後,到換電站換電池時就會被禁止換電池。
物聯網裝置常見問題:配對沒加密!
物聯網裝置往往要與App配對,才能連線使用。戴辰宇說,其實低功率藍牙4.0內建的安全機制很不錯,但是因為這個機制有許多限制,所以很少廠商真 的使用安全機制,往往號稱App和連網裝置配對時有加密,但實際上卻沒有!研究團隊測了燈泡、溫度計、耳溫槍、手環、體重計等等超過十幾款連網產品,卻只 有一個耳溫槍的配對有加密。
如果連網產品配對沒加密時會怎樣?戴辰宇比喻,「你在量體重的時候,其實旁邊的人用網路封包監聽設備(sniffer)例如Ubertooth One,就可以收到你的體重是多少!」
你可能覺得就算體重或計步器的資訊被偷走也不會怎樣,但根據賓漢頓大學和史蒂文斯理工學院最新的研究指出,有追蹤功能的穿戴式運動手環,由於可以準確記錄使用者手部震動的動作,以至於能還原你在ATM輸入的銀行帳戶密碼。
事實上,這些問題不是Gogoro專屬的資安問題,只要是用手機控制的連網產品,都會面臨差不多的風險,駭客取得連網裝置的資訊之後,有可能把你家中的冷氣、冰箱、電視打開耗電等等。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!