Bleeping Computer 网站披露,近 20 家汽车制造商和服务机构存在 API 安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。
据悉,API 漏洞主要影响宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪等其知名汽车品牌。此外,漏洞还影响汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。
谁发现了 AP I安全漏洞?
网络安全研究员 Sam Curry 和其研究团队,在数十家顶级汽车制造商生产的车辆和车联网服务中,发现了API 漏洞问题。此前,Sam Curry于 2022 年 11 月披露了现代、Genesis、本田、讴歌、日产、英菲尼迪和 SiriusXM 的安全问题。
目前,受影响的供应商已经修复所有漏洞问题,现在无法利用这些漏洞。在经过了 90 天的漏洞披露期后,Curry 团队发表了一篇关于更详细的 API 漏洞博客文章,展示了黑客如何利用这些漏洞来解锁和启动汽车。
攻击者可以利用漏洞,访问内部系统
梅赛德斯-奔驰内部系统(资料来源:Sam Curry)
访问宝马门户网站上的车辆详细信息(资料来源:Sam Curry)
暴露车主详细信息
研究人员利用其它 API 漏洞,可以访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、创世纪、宝马、劳斯莱斯、法拉利、福特、丰田、保时捷等汽车品牌车主的个人身份信息。
披露法拉利用户数据细节(资料来源:Sam Curry)
跟踪车辆 GPS
API 漏洞可能允许黑客实时跟踪汽车,带来潜在的物理风险,并影响到数百万车主的隐私,其中保时捷是最受影响的品牌之一,其远程信息处理系统漏洞使攻击者能够检索车辆位置并发送指令。
Spireon 管理面板上的历史 GPS 数据(资料来源:Sam Curry)
值得一提的是,数字车牌制造商 Reviver 也容易受到未经验证的远程访问其管理面板的影响,该面板可能允许任何人访问 GPS 数据和用户记录、更改车牌信息等。
远程修改 Reviver 车牌(资料来源:Sam Curry)
最大限度地减少安全风险
车主可以通过最大限度减少存储在车辆或汽车 APP 中的个人信息,来保护自己免受此类漏洞的影响。此外,将车载远程信息处理设置为最高私密等级,并阅读汽车厂家的隐私政策,以了解其数据的使用方式也至关重要。
最后,Sam Curry 着重强调,当购买二手车时,请确保前车主的帐户已被彻底删除。如果有条件的话,尽量使用强密码,并为车辆的应用程序和服务设置双因素认证。
Anna艳娜
RacentYY
安全侠
Anna艳娜
X0_0X
RacentYY
Anna艳娜
Anna艳娜
Anna艳娜
安全侠
Anna艳娜
安全侠
