![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
信息安全
文章平均质量分 76
曾经沧海357
学而不思则罔,思而不学则殆。
展开
-
对特斯拉软件营收模式的一点感想
如果这种商业模式在汽车行业普及开来,那么会带来另一个产业链,就是汽车软件黑客的崛起。从前开发软件Bootloader刷新的时候总是强调安全算法的保密性,要假设有黑客盗刷的风险。理论上假设了很多条件,而且说明如何用流程保证。但落实下来,发现很多OEM根本没把这当回事。传统汽车几乎没有盗刷汽车软件的事情发生,一个原因是汽车没有联网,一个是因为没有形成经济链,而没有形成经济链才是根本原因。如果黑客攻击一个软件漏洞并不会带来经济效益,那么它也懒得花那心思,浪漫一点的像孙悟空一样,在如来佛指头上写个“齐天大圣到此一游原创 2021-01-23 23:23:50 · 534 阅读 · 0 评论 -
手机支付平台付款码分析
一、背景: 随着手机付款的流行,人们出门已经很少带现金了,或者只带一点儿以备不时之需。手机付款基本有两种形式,要么扫对方的二维码自己输入金额。要么展示付款码,让对方用扫码枪扫。作为软件工程师的我,虽然不从事支付软件开发。但是每次在超市购物付款时对展示付款码扫码的方式很好奇。不就是一连串阿拉伯数字,基本一分钟自动变一次嘛。就这样被扫码枪扫一扫,立即就收到扣款消息。我相信商家能推出这...原创 2019-02-21 19:53:20 · 2410 阅读 · 0 评论 -
手机支付平台付款码风险分析
一、前言:比起扫收款方二维码,再填入金额,输入支付密码支付。让收款方扫自己的支付码方便快捷的多。但是,手机付款码总共只有16个字符的有效数字(按十六进制算),比扫二维码的信息量少很多。这在原理上存在一个风险,即使不知道Seed和Key的算法。但是,可以随便生成一串数字,客户ID,付款方式,Seed都是任意的。存在1/1000000,百万分之一的概率Seed和客户ID刚好匹配。然后让收款方扫描伪造...原创 2019-02-21 23:11:04 · 381 阅读 · 0 评论 -
汽车软件刷新——当前安全访问策略的缺陷及改进方案
一、背景:在汽车ECU软件中,如果需要依靠汽车总线(如CAN)刷新CPU里面的程序时,必须要通过安全访问,从而防止非法的刷新程序操作导致车辆安全(例如,黑客攻击)。在车联网以前,车辆总线是一个自封闭的网络,黑客通过远程电脑控制汽车在物理上是不可能的,除非亲自在汽车里操作或者首先在汽车的OBD接口上安装无线设备再远程操控。随着车联网时代的到来,越来越多的车辆会选择远程云端刷新程序,从而及时修补程序...原创 2019-02-24 13:33:04 · 1748 阅读 · 7 评论