博世加密狗漏洞允许远程操纵汽车引擎

据外媒 16 日报道，以色列汽车网络安全公司 Argus 的研究人员发现，博世（Bosch）公司推出的 Drivelog Connector 电子狗与手机 APP 存在安全漏洞，甚至允许黑客远程关闭汽车引擎。     

安全人员在模拟驾驶员通过蓝牙连接汽车时发现了这个漏洞。今年  2 月，Argus 就漏洞调查结果进行通报，博世安全响应团队（ APIRT ）也已联系 Argus 开始解决此类问题。

此次发现的安全漏洞主要有：

1、Drivelog Connector 加密狗与 Drivelog Connect 智能手机 APP 之间身份验证过程存在漏洞，致使 PIN 信息泄露。
2、Drivelog Connector 加密狗中的消息过滤器存在安全漏洞。

APP 和加密狗进行身份验证过程中存在的安全漏洞允许攻击者连接目标设备，研究人员在分析认证过程中发现，攻击者可暴力破解获得 PIN 信息，一旦设备之间建立连接，攻击者即可将恶意代码发送至 CAN 总线甚至不被驾驶员察觉。对黑客而言唯一的挑战是需要在目标车辆的蓝牙范围内进行操作。安全人员强调，同样的攻击可能对（使用这一产品的）绝大多数目标都凑效。

此外，Drivelog Connector 加密狗中的消息过滤器也存在安全漏洞，攻击者可以利用过滤器的 OEM 特定消息对车辆产生物理作用。

博世安全专家表示，目前已采取措施应对这些安全威胁。为进一步提高认证过程的安全性，官方也会尽快发布 APP 与加密狗固件的安全更新。

原作者： Pierluigi Paganini，译者：青楚，译审：狐狸酱

from hackernews.cc.thanks for it.