解鎖、啟動、跟蹤汽車到暴露客戶敏感資訊，近20家全球頂級汽車品牌盡皆淪陷

國外一安全團隊於今年年初發布了一篇部落格，聲稱近20家汽車製造商存在API安全漏洞，有可能允許駭客執行惡意活動——從解鎖、啟動、跟蹤汽車到暴露客戶敏感資訊。該研究報告中提到近20家著名品牌都受到影響，如寶馬、勞斯萊斯、梅賽德斯-賓士、法拉利、保時捷、捷豹、路虎、福特、起亞、本田、英菲尼迪、日產、謳歌、現代、豐田和捷尼賽思等。此外這些漏洞還影響了車載技術品牌Spireon、Reviver以及流媒體服務SiriusXM。

這些API漏洞是由Sam Curry領導的一個研究團隊發現的，Sam Curry在先前的披露中展示了駭客會如何利用這些漏洞解鎖和啟動汽車。自報告這些安全問題以來已經過去了90天的漏洞披露期，於是該研究團隊又釋出了一篇有關這些API漏洞的更詳細的部落格。受影響的供應商已經修復了此報告中提到的所有安全問題，因此它們現在無法再被利用。

訪問內部系統

最嚴重的API漏洞發現在寶馬和賓士之中，SSO（單點登入）漏洞使得攻擊者能夠訪問內部系統。對於賓士，研究員能夠訪問多個私有GitHub例項、Mattermost上的內部聊天頻道、伺服器、Jenkins和AWS例項，連線到客戶汽車的XENTRY系統等。對於寶馬，研究員能夠訪問內部經銷商入口網站，以查詢任意汽車的VIN（車輛識別程式碼），並檢索包含車主敏感資訊的銷售檔案。此外，攻擊者還能夠利用SSO漏洞以任何員工或經銷商的身份登入賬戶，並訪問內部使用的應用程式。

暴露車主敏感資訊

利用其他API漏洞，研究員能夠訪問起亞、本田、英菲尼迪、日產、謳歌、梅賽德斯-賓士、現代、捷尼賽思、寶馬、勞斯萊斯、法拉利、福特、保時捷和豐田汽車等汽車品牌車主的PII（個人可識別資訊），這意味著會暴露較為敏感的銷售資訊、實際位置和客戶地址。法拉利在其CMS上的SSO漏洞暴露了後端API路由，使得能夠從JavaScript片段中提取憑據。攻擊者可以利用這些漏洞訪問、修改或刪除任何法拉利客戶帳戶，管理他們的車輛檔案，或將自己設定為汽車所有者。

跟蹤車輛GPS

這些漏洞還可能允許駭客實時跟蹤汽車，帶來潛在的物理風險，並影響數百萬汽車車主的隱私。例如保時捷就是受影響的品牌之一，其遠端資訊處理系統存在漏洞，使攻擊者能夠檢索車輛位置併傳送指令。

可行的保護措施

為保護自己免受這類漏洞的影響，建議汽車車主設定車載遠端資訊處理系統為私密模式，這可以防止未授權的人員訪問位置資訊和車輛運算元據。車主還應定期檢查汽車和手機應用的更新，以確保應用程式具有最新的安全功能。此外，車主應避免在公共網路上使用車載通訊系統，並儘可能設定為複雜密碼。

部落格連結：https://samcurry.net/web-hackers-vs-the-auto-industry/

編輯：左右裡

資訊來源：bleepingcomputer、samcurry.net

轉載請註明出處和本文連結

每日漲知識

意外事故計劃（contingency plan）

在潛在的緊急事件發生以前實施的一種計劃，其任務是處理將來可能發生的緊急事件。這種計劃涉及培訓人員、執行備份、準備關鍵設施以及出現緊急事件或滅難的恢復，從而能夠繼續業務操作。

﹀

﹀

﹀