The carwhisperer project intends to sensibilise manufacturers of carkits and other Bluetooth appliances without display and keyboard for the possible security threat evolving from the use of standard passkeys.
如果你听到电脑提示音,告诉你“小心驾驶”,就可能就是汽车偷听软件(Car Whisperer)。在荷兰举行的黑客计算机安全大会上,欧洲的无线安全公司Trifinite Group推出了这Car Whisperer产品,它有手控操作的蓝牙系统,安装在汽车内可以与Linux电脑实现连接。该公司称,推出这种产品, 主要是为了克服蓝牙系统存在的一些缺点。
据Trifinite介绍CarWhisperer项目的目的就是试图让汽车配件和其它蓝牙应用的生产商对使用标准的口令字带来的潜在危险。这套软件具有这样一个优点,即手控操作的系统仅需要一个四位数的密码,比如1234或是0000等,以实现与系统的连接。许多汽车制造商为他们的蓝牙系统设置密码,这使得Car Whisperer系统很容易地发送和接收来自车外的音频信号。使用一种专门的方向导航雷达,用户就可以把蓝牙系统接收的范围扩大到到1英里远。
独立安全顾问Martin Herfurt称:“我可以从经过的汽车听到声音,如果我跟踪汽车,我一直可以偷听对方汽车的声音。”有些蓝牙用户对这种 功能感到震惊,指责这是蓝牙系统制造商的问题,而不是蓝牙技术本身。他指出:“制造商的这种做法是错误的,蓝牙技术是一种很好的技术,只要它被正确使用。”
蓝牙车内系统制造商要解决这个问题是,就要停止使用为所有的产品设置统一密码的做法,当然,这可能会增加厂商的成本。目前,Trifinite公司正在研究是否未授权的分侵者能够听到经过的汽车谈话。他指出,入侵者不可能操纵其它汽车的安全气囊或是刹车等,但他们可能对入侵汽车造成其它的影响。比如,一个攻击者通过车内蓝牙系统可以接入用户的电话本。但Trifinite公司仍要进行一步的研究,以确定这种现象是否会出现。
避免Car Whispered的最简单方法就是实现车内系统与蓝牙电话的连接,因为只有这种产品可以同时接入。Car Whispered软件,包括一个音频片断,内容为:“这是Trifinite,请小心驾驶。”用户可在http://trifinite.org/trifinite_downloads.html网站上下载些软件。
另外,据Trifinite介绍使用特殊的设备可以在一公里以外实现对蓝牙设备的通信入侵,这是通常人们认识的50~100m范围所难以想像的。这种超远距离的攻击可以截获使用蓝牙通信设备的电话号码簿和手机短信。