汽車行業最嚴重漏洞：20家知名車企API暴露車主個人信息 - 網安

近日安全研究人員Sam Curry披露了近20家知名汽車制造商在線服務中的API安全漏洞，這些漏洞可能允許黑客執行惡意活動，包括從解鎖、啟動、跟蹤汽車到竊取客戶個人信息。這可能是汽車行業迄今披露的影響最為廣泛，也最為嚴重的安全漏洞。

受漏洞影響的知名品牌包括寶馬、勞斯萊斯、梅賽德斯-奔馳、法拉利、保時捷、捷豹、路虎、福特、起亞、本田、英菲尼迪、日產、謳歌、現代、豐田和捷尼賽思。

這些漏洞還影響了汽車技術品牌Spireon和Reviver以及流媒體服務SiriusXM。

Sam Curry領導的一組研究人員此前在2022年11月曾首次披露現代、捷尼賽思、本田、謳歌、日產、因菲尼迪和SiriusXM存在此類API漏洞。

當時，Curry披露了黑客如何利用這些漏洞來解鎖和啟動汽車，但并未公布漏洞細節，在90天的漏洞披露靜默期結束后，該團隊發布了一篇詳細介紹這些API漏洞的博客文章（鏈接在文末）。

Curry透露，存在漏洞的汽車廠商已修復該報告中提出的所有安全問題，因此現在黑客已經無法再利用這些漏洞。

奔馳內部門戶：從源代碼到客戶信息全暴露

在寶馬和奔馳公司的系統發現的API漏洞最為嚴重，兩家企業內部網絡SSO（單點登錄）都存在漏洞，使攻擊者能夠訪問其內部系統，分析師可以訪問奔馳的多個私有GitHub實例、Mattermost上的內部聊天頻道、服務器、Jenkins和AWS實例、連接到客戶汽車的XENTRY系統等等，具體如下：

寶馬、勞斯萊斯：經銷商門戶洞開

對于寶馬，研究人員可以訪問其內部經銷商門戶，查詢任何汽車的VINs，并檢索包含敏感車主詳細信息的銷售文件。此外，研究者可以利用SSO漏洞以任何員工或經銷商的身份登錄，并訪問僅供內部使用的應用程序。

在寶馬門戶網站訪問車輛詳細信息

知名車企車主個人信息暴露無遺

利用其他API漏洞，研究人員可以訪問起亞、本田、英菲尼迪、日產、謳歌、奔馳、現代、捷尼賽思、寶馬、勞斯萊斯、法拉利、福特、保時捷和豐田汽車的所有者的PII（個人身份信息）。

對于超豪華汽車的車主，個人信息泄露尤其危險。研究者可以訪問的豪華車主個人信息包括銷售信息、汽車定位信息和客戶地址等。

例如法拉利的漏洞讓攻擊者可以零交互接管任何法拉利車主個人賬戶。原因是法拉利在其CMS上的SSO實施暴露了后端API路由，并使得從JavaScript腳本中提取憑據成為可能。

攻擊者可利用這些漏洞訪問、修改或刪除任何法拉利客戶帳戶，管理其車輛配置文件或將自己設置為車主。

黑客可實時跟蹤車輛

披露的漏洞還可能允許黑客實時跟蹤汽車，引入潛在的物理風險并威脅數百萬車主的隱私。

例如，保時捷的遠程信息處理系統存在漏洞，使攻擊者能夠檢索車輛位置并發送命令。

GPS跟蹤解決方案Spireon也容易受到汽車位置泄露的影響，殃及使用其服務的1550萬輛汽車，攻擊者甚至可以完全管理訪問其遠程管理面板，遠程解鎖汽車，啟動發動機或禁用啟動器。

第三個存在位置泄露問題的企業是Reviver，這是一家數字車牌制造商，容易受到未經身份驗證的遠程訪問其管理面板的攻擊，該面板可能使任何人都可以訪問車輛的GPS數據和用戶記錄，甚至更改汽車的牌號信息。

攻擊者可以在管理面板中將目標車輛標記為“被盜”，這將自動通知警方，使車主/司機面臨不必要的麻煩和風險。

遠程修改車牌號碼

專家建議車主應盡量減少暴露個人信息

車主可以通過最大限度減少存儲在車輛或汽車APP中的個人信息來保護自己免受此類漏洞的影響。

將車載遠程信息處理設置為最高私密等級，并閱讀汽車廠家的隱私政策以了解其數據的使用方式也很重要。

安全專家還建議車主在購買二手車時，確保先前車主的帳戶已被刪除。如果可能的話，使用強密碼并為汽車應用程序和服務的登錄設置雙因素身份驗證。