解鎖、啟動、跟蹤汽車到暴露客戶敏感信息，近20家全球頂級汽車品牌盡皆淪陷

國外一安全團隊于今年年初發布了一篇博客，聲稱近20家汽車制造商存在API安全漏洞，有可能允許黑客執行惡意活動——從解鎖、啟動、跟蹤汽車到暴露客戶敏感信息。該研究報告中提到近20家著名品牌都受到影響，如寶馬、勞斯萊斯、梅賽德斯-奔馳、法拉利、保時捷、捷豹、路虎、福特、起亞、本田、英菲尼迪、日產、謳歌、現代、豐田和捷尼賽思等。此外這些漏洞還影響了車載技術品牌Spireon、Reviver以及流媒體服務SiriusXM。

這些API漏洞是由Sam Curry領導的一個研究團隊發現的，Sam Curry在先前的披露中展示了黑客會如何利用這些漏洞解鎖和啟動汽車。自報告這些安全問題以來已經過去了90天的漏洞披露期，于是該研究團隊又發布了一篇有關這些API漏洞的更詳細的博客。受影響的供應商已經修復了此報告中提到的所有安全問題，因此它們現在無法再被利用。

訪問內部系統

最嚴重的API漏洞發現在寶馬和奔馳之中，SSO（單點登錄）漏洞使得攻擊者能夠訪問內部系統。對于奔馳，研究員能夠訪問多個私有GitHub實例、Mattermost上的內部聊天頻道、服務器、Jenkins和AWS實例，連接到客戶汽車的XENTRY系統等。對于寶馬，研究員能夠訪問內部經銷商門戶網站，以查詢任意汽車的VIN（車輛識別代碼），并檢索包含車主敏感信息的銷售文件。此外，攻擊者還能夠利用SSO漏洞以任何員工或經銷商的身份登錄賬戶，并訪問內部使用的應用程序。

暴露車主敏感信息

利用其他API漏洞，研究員能夠訪問起亞、本田、英菲尼迪、日產、謳歌、梅賽德斯-奔馳、現代、捷尼賽思、寶馬、勞斯萊斯、法拉利、福特、保時捷和豐田汽車等汽車品牌車主的PII（個人可識別信息），這意味著會暴露較為敏感的銷售信息、實際位置和客戶地址。法拉利在其CMS上的SSO漏洞暴露了后端API路由，使得能夠從JavaScript片段中提取憑據。攻擊者可以利用這些漏洞訪問、修改或刪除任何法拉利客戶帳戶，管理他們的車輛檔案，或將自己設置為汽車所有者。

跟蹤車輛GPS

這些漏洞還可能允許黑客實時跟蹤汽車，帶來潛在的物理風險，并影響數百萬汽車車主的隱私。例如保時捷就是受影響的品牌之一，其遠程信息處理系統存在漏洞，使攻擊者能夠檢索車輛位置并發送指令。

可行的保護措施

為保護自己免受這類漏洞的影響，建議汽車車主設置車載遠程信息處理系統為私密模式，這可以防止未授權的人員訪問位置信息和車輛操作數據。車主還應定期檢查汽車和手機應用的更新，以確保應用程序具有最新的安全功能。此外，車主應避免在公共網絡上使用車載通訊系統，并盡可能設置為復雜密碼。

博客鏈接：https://samcurry.net/web-hackers-vs-the-auto-industry/

編輯：左右里

資訊來源：bleepingcomputer、samcurry.net

轉載請注明出處和本文鏈接

每日漲知識

意外事故計劃（contingency plan）

在潛在的緊急事件發生以前實施的一種計劃，其任務是處理將來可能發生的緊急事件。這種計劃涉及培訓人員、執行備份、準備關鍵設施以及出現緊急事件或滅難的恢復，從而能夠繼續業務操作。