近兩年車聯(lián)網如同智能手機的增長趨勢一樣，正在快速度發(fā)展。特斯拉汽車成為了車聯(lián)網汽車發(fā)展的里程碑。在這之后國內很多廠家也紛紛推出了帶有車聯(lián)網功能的汽車。那么究竟搭載車聯(lián)網的汽車有什么功能呢?

要使用車聯(lián)網需要先下載一個手機APP，通過個人賬號密碼和車聯(lián)網之后，就可以對自己的汽車進行一系列的遠程控制：開關車門，調節(jié)空調，車況檢測，實時車況，位置服務。

車聯(lián)網APP除了裝逼之外，并沒什么卵用

然而這些功能給用戶帶來了良好的體驗之外(裝逼)，其實并沒有什么卵用。同時還會因為安全問題引入不少麻煩。

[[139665]]

回顧一下比亞迪汽車企業(yè)在車聯(lián)網之前爆露出來的一個云平臺的漏洞，由于云服務存在嚴重安全漏洞，黑客可以編寫程序獲取任意車主的信息(姓名、車牌號、車架號、身份證號、第二聯(lián)系人姓名、手機號等)和控制密碼。

用戶輸入手機號，瀏覽器發(fā)送ajax請求判斷手機號是否存在，如果不存在，返回空

如果手機號存在，則返回車主信息(姓名、車牌號、車架號、身份證號、第二聯(lián)系人姓名、手機號等)

其中有一個參數是ConrolPassword,這個參數內容就是車聯(lián)網應用的密碼。那么其實我們只要知道車主的手機號，就可以開走汽車了。

[[139666]]

攻擊場景如下：

移車電話留下攻擊入口

我們在生活中經?？吹接幸恍┮栖囯娫?一般城里比較擁擠，停車較難，會擋住其它的車)。這個電話都是車主使用的主要電話，可以通過這個電話號碼利用漏洞拿到這輛車的控制密碼。然后就可以把車輛車開走了。不要在跟我說你們沒有車進行研究了，只是你們沒有用心去發(fā)現。

[[139668]]

當然這個漏洞已經被比亞迪修復了。比亞迪汽車在Hackpwn被破解也是利用的車聯(lián)網方面的漏洞，不過當然不會那么簡單了。不過這里要提示使用車聯(lián)網汽車的車主，這種移車電話很有可能會造成你的汽車的丟失，還有車架號沒有被蓋住，也會造成同樣的問題。