嫩芽图片一个插件14个漏洞,奔驰智能互联也不安全-汽车专业网


一个插件14个漏洞,奔驰智能互联也不安全-汽车专业网

随着各大汽车品牌的“智能互联”系统开始大规模装车嫩芽图片,为了验证我们“汽车网络安全的风险会随着网联的普及而增加”的判断,四哥实验室选择了对一些汽车品牌的“智能网联”的应用(App)及其官方推荐的第三方应用App/软件进行了“安全性扫描”测试。4月下旬,我们测试了奔驰的“智能互联”App。结果不出我们所料,作为豪华品牌的奔驰,智能互联App同样存在重大的网络安全隐患。
下面介绍一下详细情况,首先,我们登陆奔驰官网,找到这款App,如下图:

这款啊屁屁的主要功能有那些呢?截一个图(但愿能看的清楚):

我们把这款啊屁屁的.apk文件下载下来,

然后用专业的扫描工具做扫描,结果无翼蝙蝠,结果,结果就如下图:

这是啥意思呢?这个和“医仙谷谷主”开出的诊断结果一样,从左到右,第一个圈表示这款奔驰的啊屁屁有14个插件贵花田,其中的1个有漏洞;图2表示图1中这一个有问题的插件,有14个漏洞,其中4个严重风险的漏洞,10个中等风险的漏洞;图3表示这个啊屁屁中引用的插件或软件,有6个需要“许可”,4个获得许可或者豁免天宇问天,2个是有专利的;
是什么插件有问题呢?

对妖精传说,就是这个叫“libpng”的插件有问题,版本是:1.2.37
主要是有什么问题呢?

CVE=CommonVulnerabilities and Exposures,简单点就是漏洞库,是美国国家漏洞库,中国国家信息安全漏洞库等的集合。CVSS栏下得分7.0以上的都是高风险漏洞;
奔驰为什么都会有漏洞呢?
前面奔驰官网的截图中可以看到,奔驰发布这款啊屁屁的日期是2017年2月14日,我们测试的日期是4月份龙城岁月,发现的所有漏洞,在CVE漏洞库的发布日期在这款啊屁屁发布之前就有了天颂雅苑,应该是奔驰没有及时更新libpng这款插件;
这些漏洞对用户会有啥影响呢?
首先,如果被黑,这款啊屁屁本身所能实现的功能(见前文奔驰官网截图)都有可能会被黑客接管或者滥用;汽车网络安全微信公众号(微信号:qicheanquan001)原创,转载请注明出处!
其次,我们进入到libpng这款软件的官网去看一看,其最新版本是“1.6.29”,而奔驰引用的1.2.37的发布日期是2009年6月4日校园狂少4。

中间差了7~8年和N多个版本;期间更新版本主要打了那些补丁?堵了什么漏洞?截几个图如下:

如上图,可能只是在使用时“拒绝服务”,或者OS系统的设备不兼容;

像上图这样严重的漏洞,被黑了以后,可以被改写和恶意使用清宫宛妃传,例如正当你开着奔驰带着客户时,在你的中控屏上显示点恶搞图片,就是这些漏洞留下的风险;
当然,也有可以被remote(远程攻击)的漏洞,像下图已经发布的例子:

更多漏洞详情纳格利,可以登录:http://www.libpng.org/pub/png/libpng.html去查询;
总结:
1)汽车网络安全隐患已经潜伏在我们日常生活中了,不再是“危言耸听”的说辞;
2)汽车网络安全风险等级,豪华品牌汽车也不能幸免,这与你购车付出的钱多少没有关系,再豪华的品牌,智能互联系统也有漏洞;
3)行业亟需出台汽车网络安全标准盖亚冥想曲,和相关认证测试的独立公正机构;对于各种智能互联和车载APP,严重缺乏统一的认证和测试标准;
4)奔驰也不是豪华汽车品牌中智能互联系统存在严重个漏洞的个案,凌宝儿我们测试的多个豪华品牌中刘培柱 ,都有严重漏洞金犊奖 !
一直以来关注四哥“汽车网络安全”公众号的朋友们都知道,对于这些漏洞王雪娥 ,我们一直以来的建议是谨慎使用,如果智能设备需要与车机互联金匠世家 ,最好删除不信任的和不是必须的各类APP;当然,如果今后有权威的测试机构能够对这类应用的安全性进行测试认证,使用的风险自然会大大降低!
往期看点
撞辆豪车算什么,这辆汽车开启了撞车新高度!
巴铁投资方兑付方案:钱不够车房凑 兑付实物一抢而空
2017最省油SUV推荐 谁说鱼和熊掌不能兼得
英国公司推四轮飞行摩托 将亮相巴黎航展
暴雨天来袭 涉水险到底该不该买甄云龙?
一如既往的关注汽车,搜索“汽车专业网”每天都有新内容,每天都有新话题。如需转载请注明出处突变怪婴。