這技術讓程序員秒變偷車賊...
安全專家近日發現了影響數百萬輛汽車的安全漏洞,全球幾乎所有主要汽車品牌均受影響。
黑客可以利用汽車遠程信息處理系統、汽車 API 和支持性基礎設施中的漏洞進行各種操作,甚至可以遠程完全接管你的汽車。
奔馳、寶馬、勞斯萊斯、法拉利、福特、保時捷、豐田、捷豹和路虎等汽車品牌,還有車隊管理公司 Spireon 和數字車牌公司 Reviver 均受到影響。
Yuga 實驗室的 Sam Curry 在研究破解汽車過程中,在現代和 Genesis 的多款車型中發現了漏洞,并發現 Sirius XM 的 Connected Vehicle Services 漏洞影響本田、日產、英菲尼迪和 Acuras。
Curry 表示:“受影響的公司都在報告后的一兩天內修復了這些問題。我們與所有這些公司合作,對其進行驗證,并確保不會繞過這些漏洞”。
基于 Curry 的漏洞研究,安全專家又陸續發現了多個波及范圍很廣的安全漏洞。從公共安全的角度來看,最嚴重的漏洞是在 Spireon 發現的,該公司擁有幾個 GPS 車輛跟蹤和車隊管理品牌,包括 OnStar、GoldStar、LoJack、FleetLocate 和 NSpire,覆蓋 1500 萬輛聯網車輛。
庫里和團隊發現了 SQL 注入和授權繞過方面的多個漏洞,可以在所有 Spireon 上執行遠程代碼,并完全接管任何車隊車輛。
研究人員寫道:“這將使我們能夠跟蹤和關閉一些不同大城市的警察、救護車和執法車輛的啟動器,并向這些車輛發出指令”。
研究人員寫道:“這些漏洞還讓他們獲得了對 Spireon 公司的完全管理員權限和一個全公司的管理面板,攻擊者可以從這個面板上向所有 1500 萬輛汽車發送任意命令,從而遠程解鎖車門、按喇叭、啟動引擎和禁用啟動器”。
此外研究人員還發現了針對法拉利汽車的過度許可訪問控制漏洞,允許他們訪問幾個內部應用程序的 JavaScript 代碼。該代碼包含 API 密鑰和憑證,可能允許攻擊者訪問客戶記錄并接管(或刪除)客戶賬戶。
研究人員表示攻擊者可以 POST 到“/core/ api / v1 / Users/:id / Roles”端點,編輯他們的用戶角色,設置自己擁有超級用戶權限或成為法拉利所有者。
