Gogoro 三大资安风险揭密，小心所有物联网产品

Gogoro 车主小心！如果手机感染恶意程序的话，攻击者可以轻易偷走你的 Gogoro！台科大资管系副教授查士朝团队，研究低功率蓝牙与物联网产品的安全时，发现了 Gogoro 的三大资安弱点，首次在中国台湾黑客年会 HITCON 揭露 App 传输的风险，研究团队已回报 Gogoro，而 Gogoro 也已针对资安弱点做出更新修复。

专门研究物联网设备的研究团队在 2016 年 4 月时发现 Gogoro 的 3 个安全漏洞，回报到 HITCON ZeroDay 平台，平台则通报 Gogoro 有安全风险，随后 Gogoro 已陆续修复。

戴辰宇强调，“Gogoro 车子本身的安全机制没有问题，但手机是很不可靠的东西，比芯片钥匙还不安全，所以需要更慎重设计机制，来保护软件的通讯安全！”

弱点 1：App 中的金钥被存在不安全的目录下

在 HITCON 发布 Gogoro 资安风险的台科大资管系学生戴辰宇表示，控制 Gogoro 的方式是使用手机 App，手机就像是钥匙圈一样，所有 Gogoro 的资讯都被存在程序的“金钥”中，包括车牌号码、车主个人资料和上次停车前断线的位置，然而这把金钥，却存在不安全的目录之下。

黑客甚至不需要在 Gogoro 旁边，就可以偷走“金钥”。黑客有很多种方式，让使用者曝露在安全风险之中，Gogoro 车主只要乱点链接、乱下载 App，不小心就会感染恶意程序。戴辰宇举例，“如果你不小心下载了假的 Pokémon Go，很可能就会被植入木马病毒，黑客就可能把你手机里的“加密金钥”偷走！”

▲ 戴辰宇在 HITCON 年会上代表研究团队介绍 Gogoro 的三大资安风险，只要金钥被偷走的话，黑客就能把 Gogoro 骑走。

或是，黑客只要跟使用者一起在咖啡厅使用网络，只要咖啡厅网络被控制，而使用者又刚好上 Gogoro 网站看资讯的话，黑客就可以透过刚拦截的资讯，把车子发动并骑走。

偷走金钥之后，怎么找得到车子呢？由于 Gogoro 的功能会记录上次停车的位置，所以黑客找到你的 Gogoro 之后，并在另一支手机重现金钥，就能发动车子，把电动摩托车骑走；或者，黑客只要在你的手机中植入有 GPS 地图的恶意程序，也能知道你的位置。

在研究团队回报这个漏洞之后，Gogoro 已在 4 月修复这个问题，目前也没有 Gogoro 被偷的情况发生。

弱点 2：App 到云端的 SLL 加密有检查的问题

所有上网的 App 在上网的过程中，从 App 到云端都要经过 SLL 加密检查验证，一开始 Gogoro 把金钥放在云端服务器上，登录之后才传送到 App。从 App 到云端过程中的资讯很有可能被拦截，代表金钥很有可能被取得。这个问题 Gogoro 已经在 7 月修复。

弱点 3：每一次重新配对不会换新的金钥

Gogoro 目前的设计是只要手机和车子一配对之后，会产生一组永久的金钥，如果手机不见，或是Gogoro 二手车，就会产生别人也取得同样一把金钥的问题。不过，一般的汽摩托车也会有被偷的问题。而目前这个问题尚未被 Gogoro 官方修复。

但话说回来，黑客这么大费周章偷走 Gogoro 其实没有太大意义，因为 Gogoro 本身就有防盗机制，每台车都有它的序号，被偷的车没电之后，到换电站换电池时就会被禁止换电池。

物联网设备常见问题：配对没加密

物联网设备往往要与 App 配对，才能连线使用。戴辰宇说，其实低功率蓝牙 4.0 内建的安全机制很不错，但是因为这个机制有许多限制，所以很少厂商真的使用安全机制，往往号称 App 和连网设备配对时有加密，但实际上却没有。研究团队测了灯泡、温度计、耳温枪、手环、体重计等等超过十几款连网产品，却只有一个耳温枪的配对有加密。

如果连网产品配对没加密时会怎样？戴辰宇比喻，“就像你在量体重的时候，其实旁边的人用网络封包监听设备（sniffer）例如 Ubertooth One，就可以知道你的体重是多少。”

你可能觉得就算体重或计步器的资讯被偷走也不会怎样，但根据宾汉顿大学和史蒂文斯理工学院最新的研究指出，有追踪功能的穿戴式运动手环，由于可以准确记录使用者手部震动的动作，以至于能还原你在 ATM 输入的银行帐户密码。

事实上，这些问题不是 Gogoro 专属的资安问题，只要是用手机控制的连网产品，都会面临差不多的风险，黑客取得连网设备的资讯之后，有可能把你家中的冷气、冰箱、电视打开耗电等。

（本文由 数码时代 授权转载；首图来源：科技新报）

如需获取更多资讯，请关注微信公众账号：半导体行业观察