国外一安全团队于今年年初发布了一篇博客,声称近20家汽车制造商存在API安全漏洞,有可能允许黑客执行恶意活动——从解锁、启动、跟踪汽车到暴露客户敏感信息。该研究报告中提到近20家著名品牌都受到影响,如宝马、劳斯莱斯、梅赛德斯-奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和捷尼赛思等。此外这些漏洞还影响了车载技术品牌Spireon、Reviver以及流媒体服务SiriusXM。
这些API漏洞是由Sam Curry领导的一个研究团队发现的,Sam Curry在先前的披露中展示了黑客会如何利用这些漏洞解锁和启动汽车。自报告这些安全问题以来已经过去了90天的漏洞披露期,于是该研究团队又发布了一篇有关这些API漏洞的更详细的博客。受影响的供应商已经修复了此报告中提到的所有安全问题,因此它们现在无法再被利用。
访问内部系统
最严重的API漏洞发现在宝马和奔驰之中,SSO(单点登录)漏洞使得攻击者能够访问内部系统。对于奔驰,研究员能够访问多个私有GitHub实例、Mattermost上的内部聊天频道、服务器、Jenkins和AWS实例,连接到客户汽车的XENTRY系统等。对于宝马,研究员能够访问内部经销商门户网站,以查询任意汽车的VIN(车辆识别代码),并检索包含车主敏感信息的销售文件。此外,攻击者还能够利用SSO漏洞以任何员工或经销商的身份登录账户,并访问内部使用的应用程序。
暴露车主敏感信息
利用其他API漏洞,研究员能够访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、捷尼赛思、宝马、劳斯莱斯、法拉利、福特、保时捷和丰田汽车等汽车品牌车主的PII(个人可识别信息),这意味着会暴露较为敏感的销售信息、实际位置和客户地址。法拉利在其CMS上的SSO漏洞暴露了后端API路由,使得能够从JavaScript片段中提取凭据。攻击者可以利用这些漏洞访问、修改或删除任何法拉利客户帐户,管理他们的车辆档案,或将自己设置为汽车所有者。
跟踪车辆GPS
这些漏洞还可能允许黑客实时跟踪汽车,带来潜在的物理风险,并影响数百万汽车车主的隐私。例如保时捷就是受影响的品牌之一,其远程信息处理系统存在漏洞,使攻击者能够检索车辆位置并发送指令。
可行的保护措施
为保护自己免受这类漏洞的影响,建议汽车车主设置车载远程信息处理系统为私密模式,这可以防止未授权的人员访问位置信息和车辆操作数据。车主还应定期检查汽车和手机应用的更新,以确保应用程序具有最新的安全功能。此外,车主应避免在公共网络上使用车载通讯系统,并尽可能设置为复杂密码。
博客链接:https://samcurry.net/web-hackers-vs-the-auto-industry/
编辑:左右里
资讯来源:bleepingcomputer、samcurry.net
转载请注明出处和本文链接
每日涨知识
意外事故计划(contingency plan)
在潜在的紧急事件发生以前实施的一种计划,其任务是处理将来可能发生的紧急事件。这种计划涉及培训人员、执行备份、准备关键设施以及出现紧急事件或灭难的恢复,从而能够继续业务操作。
安全圈
Anna艳娜
安全侠
安全侠
安全侠
007bug
Anna艳娜
X0_0X
安全侠
安全侠
安全侠
Anna艳娜
