十年未被發現！現代汽車曝重大安全漏洞，黑客可遠程解鎖、啟動汽車;安裝量達 1500 萬，這些詐騙軟件專門針對發展中國家

現代汽車曝重大安全漏洞，黑客可遠程解鎖、啟動汽車

據cybernews消息，現代汽車APP存在一個重大安全漏洞。利用這個漏洞，黑客可以遠程解鎖、啟動汽車。更令業界感到驚訝的是，這個漏洞已經存在了10年之久，影響了自2012年生產的現代汽車，以及旗下高端品牌捷尼賽思汽車。但現代汽車發布公告稱，該漏洞并未被廣泛利用。

這兩個APP的名稱是MyHyundai 和 MyGenesis，允許經過身份驗證的用戶啟動、停止、鎖定和解鎖他們的車輛，可進一步提升車主的使用體驗。

根據網絡安全研究人員Sam Curry的說法，原本現代和捷尼賽思汽車的APP僅向授權用戶提供車輛的控制權限，但是，該APP與授權服務器的通信之間存在一個嚴重的安全漏洞，導致攻擊者可以輕易取得相應的權限。

Sam Curry在社交平臺發文稱，“我們注意到服務器不要求用戶確認他們的電子郵件地址，此外還有一個非常松散的正則表達式，允許在您的電子郵件中使用控制字符。”

在深入研究繞過身份驗證的可能方法后，Sam Curry和他的團隊發現，在注冊過程中，只需要在現有受害者電子郵件的末尾添加CRLF字符，攻擊者就可以使用現有的電子郵件注冊一個新帳戶。

而這個新帳戶將獲得一個JSON網絡令牌 (JWT)，該令牌與服務器中的合法電子郵件相匹配，從而授予攻擊者對目標車輛的訪問權限。

Sam Curry發布消息稱，“我們目前在確認，是否可以使用被篡改的 JWT 執行解鎖或啟動汽車等實際操作，如果真的可以做到這一點，那么將有可能全面接管所有遠程啟動的現代汽車和捷尼賽思汽車。

隨后，有安全研究人員利用他們手里的一輛現代汽車來測試該漏洞。最終結果顯示，使用受害者的電子郵件地址并添加 CRLF 字符，就可以讓他們遠程解鎖鏈接了相應電子郵件地址的車輛。

有消息稱，某些黑客團隊也盯上了這個漏洞，甚至開發了一個python 腳本，只需要獲取受害者的電子郵件地址，即可執行車輛上的所有命令，甚至接管車主的帳戶。

目前，該漏洞已經報告給現代汽車公司，并且已經得到修復。在發布的公告中，現代汽車表示，經過調查后并未發現該漏洞被黑客利用了。

現代聲稱該公司調查了這個問題，并沒有發現該漏洞在野外被利用，并強調利用該漏洞條件苛刻，“需要知道與特定現代汽車帳戶和車輛相關的電子郵件地址，以及研究人員使用的特定網絡腳本。”

而這似乎與目前不少安全人員發布的內容不太相符。

Yuga Labs公司的分析師稱，只需要知道目標車輛識別號 (VIN)，就有可能向端點發送偽造的 HTTP 請求，從而順利利用該漏洞。

在實際情況中，車輛VIN 很容易在停放的汽車上獲取，通常在儀表板與擋風玻璃相接的板上可見，攻擊者可以輕松訪問它。這些識別號碼也可以在專門的汽車銷售網站上找到，供潛在買家查看車輛的歷史記錄。

近年來，智能汽車產業正處于快速發展期，越來越多的安全專家們也開始將研究重點放在汽車攻擊領域，發現了不少重量級汽車網絡安全漏洞，包括遠程解鎖、啟動、停止車輛等，成功向外界展示，攻擊者是如何破壞車輛中的各種組件，涉及多個主流汽車品牌。

也正因為如此，汽車廠商們應進一步加大對網絡安全的重視程度，并真切投入資源改善這種不安去的狀況。汽車作為一個私密、封閉的個人空間，其安全性的重要性毋庸置疑，也是車主們選擇汽車的重要衡量因素。

安裝量達 1500 萬，這些詐騙軟件專門針對發展中國家

Google Play 和 Apple App Store 上的 280 多個 Android 和 iOS 應用程序以具有欺詐性的條款使用戶陷入貸款漩渦，并采用各種方法對借款人進行勒索和騷擾。

為了實現該行為的勒索企圖，這些應用程序從手機中竊取了通常貸款不需要提供的大量隱私數據。

在網絡安全公司Lookout的一份新報告中，研究人員發現了251個安卓35個iOS的借貸應用，這些應用的下載量合計達1500萬次，主要來自印度、哥倫比亞、墨西哥、尼日利亞、泰國、菲律賓和烏干達的用戶。

Lookout向谷歌和蘋果報告了所有這些應用的情況，并成功地將它們全部刪除。

 欺詐性貸款應用程序 

這些貸款應用程序在發展中國家取得了巨大的收益，因為這些國家的金融機制問題，欺詐行為的報告不太可能被起訴。

在安裝欺詐性貸款應用程序后，用戶被要求授予風險權限，使欺詐者能夠訪問設備上的敏感信息，如聯系人列表、短信內容、照片、媒體等。

一旦授予權限，應用程序立即開始從設備中上傳敏感數據到他們自己的服務器。

如果用戶不批準這些權限請求，應用程序將不允許他們提交貸款請求。

在第一次啟動時，被要求授予權限，并且要求用戶填寫KYC（了解你的客戶）表格，要求提供身份證的信息，等等。

接下來，這些應用程序向用戶提供欺騙性或虛假的貸款條款，促使他們貸款。

當受害者收到部分貸款時，利率條款會發生變化，或者出現之前的隱藏費用，有時會達到總借款額的三分之一。

一些用戶還報告說，這些應用程序將還款期從承諾的180天減少到只有8天，在逾期時征收高額利息和罰款。

由于大多數人無法接受，沒有能力或不愿意償還貸款。應用程序運營商則開始利用第一階段竊取的數據對他們進行騷擾，從通訊錄中聯系他們的家人和朋友并透露債務情況。

甚至運營商將從用戶設備上盜取的圖片經過編輯發送給聯系人，對貸款人造成極大的困擾。

 蘋果和谷歌進行了干預 

蘋果和谷歌允許小額貸款應用程序在其應用程序商店中使用，但有嚴格的政策來規范其運作。

準則規定，最短的還款期應該是60天，最高的年收費百分比應該是36%。

上述應用程序聲稱條款符合這些準則，但在實際應用中，并不像他們所說的這樣，所以應用程序商店因違反條款而將其刪除。

當然，還需要進行更多的檢查，以防止這些應用程序的運營商以不同的名字重新向應用程序商店提交這類應用程序。同時用戶在下載時也應該保持警惕，防止不合規的條款盜取我們的信息。