安全研究人員發現,CalAmp(一家為多個知名系統提供後端服務的公司)運營的一臺伺服器因為錯誤配置,黑客可藉助該漏洞接入賬號資料,甚至直接接管相關車輛。
發現該問題時,安全專家 Vangelis Stykas 和 George Lavdanis 正在搜尋 Viper SmartStart 系統中的安全漏洞,這是一款讓使用者能遠端啟動、鎖閉、解鎖或定位車輛的裝置,有了它,使用者只需操作手機中的應用就能直接完成上述操作。
與其他移動應用類似,這套系統用了 SSL 和證書鎖定(Certificate Pinning,已知其伺服器用上了硬編碼)安全連線來自動拒絕那些提供虛假 SSL 認證連線的網站。
不過兩位安全專家指出,該應用不但會連線到 mysmartstart.com 的域名,還會連線第三方域名(https://colt.calamp-ts.com/,即 Calamp.com Lender Outlook 服務)。只要使用 Viper 應用生成的使用者憑證,誰都能登陸控制檯。
“該控制檯看起來是 Calamp.com Lender Outlook 服務的前端,我們試著用 Viper 生成的使用者憑證登陸,居然成功了。”安全專家 Stykas 在一篇博文中寫道。“顯然,這是那些擁有多個子賬戶和大批車輛需要控制公司的控制檯。”
進一步測試後,研究人員確認了一點,那就是這套系統的入口還是安全的。不過,在評估中他們卻發現,各種報告其實是來自另一臺專用伺服器,它負責執行的是 tibco jasperreports 軟體。
這還是兩位專家第一次分析這種型別的伺服器。移除所有引數後,他們發現,自己居然以使用者身份登陸了,雖然許可權受限,但已經可以接入許多報告了。
“我們不得不執行所有報告,並且發現前端根本就沒有稽核使用者 ID,而是選擇自動讓其通過。不過,現在我們得從控制檯提供 ID 作為輸入項。當然,我們可以選擇想要的任意數字。”
一番研究後他們發現,自己已經可以接入所有車輛的所有報告了(包括位置記錄),而且只要知道了使用者名稱,就能直接接入資料來源(密碼做了偽裝處理,所以無法匯出)。同時,藉助伺服器還能輕鬆複製和編輯現有報告。
“我們無法建立報告、AdHoc 無線網路或其它專案,不過我們能對現有內容進行復制貼上和編輯,這也就意味著我們已經大權在握。此外,我們還能在報告中加入任意的 XSS 來竊取資訊。當然,這是正派人士所不齒的。”上述專家說。
雷鋒網(公眾號:雷鋒網)瞭解到,掌握了伺服器上的生產資料庫後,研究人員就能通過移動應用接管使用者賬戶。如果黑客知道了某賬戶的密碼(老密碼),就能直接定位車輛並開車走人。
兩位專家指出,這一漏洞可能導致下列嚴重後果:
1. 黑客只需修改使用者密碼,就能直接解鎖並開走車輛;
2. 拿到所有位置記錄報告;
3. 在某人開車時直接關掉車輛引擎;
4. 遠端操控開啟引擎;
5. 拿到所有使用者的資料;
6. 通過應用拿到匯流排資訊;
7. 從連線資料庫拿到 IoT 裝置的資料或重設密碼。這也就意味著黑客手中能掌握千萬種可能。
據悉,兩位專家本月月初就將問題反映給了 CalAmp,而後者在十天內就將問題徹底解決。
來源:雷鋒網