web-dev-qa-db-ja.com

車のリモートアプリのセキュリティ

BMW、アウディ、メルセデスベンツなどの自動車メーカーはすべて、自動車を制御するためのモバイルアプリケーションを提供しています。すべてのアプリは、リモートロック/ロック解除や現在のGPS位置に基づいて車を見つける機能などの非常に重要な機能を共有しています。

この種の通信がどのように保護されているかについて、誰かが追加情報を提供できますか?

BWMアプリでは、BMWconnectedDriveポータルのログイン情報を入力するだけで、セットアップが完了し、車を完全に制御できます。ユーザーが選択したパスワードで保護された実際の車のセキュリティには本当に疑問があります。

私の推測では、いくつかの公開鍵インフラストラクチャが使用されていますが、情報が見つかりません。

4
Youleean

テスラの場合、車とアプリはHTTPSを介してテスラサーバーと通信します。アプリはここにログインします https://portal.vn.teslamotors.com/ そしてGoogle Glass用のGoogleのAppspot(teslaglass.appspot.com)で車と対話できるサードパーティのAPIがいくつかあります統合。

認証とAPIのいくつかの弱点は 発見された公開された でした。ローカリゼーションとリモートロック解除が可能でした。

1
Cristian Dobre

ドイツの高級自動車メーカーの現在のバージョンは、資格情報(ユーザーとパスワード)を取得するためにWebサイトに登録してアプリをダウンロードし、サーバーに対して認証を行い、最後にUSBまたはBluetoothを介してデバイスを車に接続することで機能します ソース

ただし、最初のリリースには欠陥がありました。見てください:

BMWのConnectedDriveシステムのセキュリティの脆弱性により、研究者はBMWサーバーを模倣し、車両にリモートロック解除命令を送信することができました...

BMWのスポークスマンであるDaveBuchkoは、次のように述べています。「テレマティクスに使用するソフトウェアの一部をリバースエンジニアリングすることができました。 「それで彼らはBMWサーバーを模倣することができました。」...

自動車メーカーはすでにコネクテッドドライブを搭載した220万台にソフトウェアパッチの送信を開始しています...

この修正により、BMWから車への接続にHTTPS暗号化が追加されます。これは、パブリックセルラーネットワーク上で実行されます...

ソース

1
user69377