App漏洞可遠程解鎖啟動汽車，影響現代、捷尼賽思汽車

汽車APP漏洞可遠程解鎖啟動汽車，影響2012年之后部分型號汽車。

Yuga Labs安全研究人員發現了現代汽車APP中的安全漏洞，并在豐田、宏達、尼桑、英菲尼迪等汽車制造商使用的SiriusXM "smart vehicle"平臺中發現了類似的攻擊面。截止目前，安全研究人員尚未公開漏洞的技術細節，但在推特分享了相關的信息。

現代汽車問題

現代汽車和捷尼賽思汽車的移動APP名為MyHyundai和MyGenesis，允許認證用戶啟動、停止、鎖定、解鎖其汽車。

圖 MyHyundai app接口

在攔截者2個APP生成的流量經過分析后，研究人員發現可以從中提取出API調用用于進一步分析。

研究人員發現，其所有者的驗證是基于用戶的電子郵件地址的，而電子郵件地址包含在POST請求的json中。

而且MyHyundai APP在注冊時并不需要郵件確認，只使用用戶注冊時的郵件地址和額外的控制字符來創建賬戶。

最后，發送JSON token中包含欺騙地址、JSON body中包含受害者地址的HTTP請求到Hyundai終端，就可以成功繞過有效性驗證。

圖 偽造的HTTP請求的響應

為驗證是否可以攻擊汽車，研究人員嘗試解鎖了一輛現代汽車。幾秒鐘后，被攻擊的汽車成功解鎖了。

在現實攻擊中需要多個步驟，研究人員將攻擊過程封裝進了一個Python腳本，只需輸入目標郵件地址，就可以執行所有命令，并成功接管受害者汽車。

SiriusXM問題

SiriusXM 是一家車載服務提供商，有超過15個汽車廠商使用，有超過1200萬連網汽車使用該服務。

Yuga Labs 安全研究人員發現寶馬、本田、英菲尼迪、尼桑、豐田、雷克薩斯、路虎等都汽車廠商都使用SiriusXM 技術來實現遠程車輛管理功能。

研究人員攔截了尼桑APP的網絡流量，發現只需要知道目標車輛的ID（VID）就能發送偽造的HTTP請求到車輛。

對非授權的請求的響應中包含目標車輛名、手機號碼、地址和車輛詳細信息。

考慮到根據VIN很容易獲取，比如在車上、賣車網站上都有。除了信息泄露外，這些請求也可以在其他汽車上執行命令。

圖 Python腳本輸入VIN提取數據

BleepingComputer也聯系了Hyundai和SiriusXM來確定漏洞是否被利用用于攻擊現實用戶。廠商回應稱截止目前未發現有現實用戶被攻擊。

Yuga Labs研究人員已經通知了Hyundai和SiriusXM的漏洞和相關風險。目前，廠商也已經修復了相關的漏洞。

研究人員Sam Curry確認漏洞影響2015年之后使用SiriusXM的汽車品牌。攻擊者利用該漏洞在只需要知道VIN號的請求下可以在SiriusXM平臺上實現遠程追蹤、車輛鎖定、解鎖、啟動、停止、開啟車前燈。