宝马ConnectedDrive门户网站存在的两大漏洞可以让攻击者操纵与宝马信息娱乐系统有关的车辆设置。
ConnectedDrive是宝马车载信息娱乐系统的名称。该系统可以在车内使用,或可以通过一系列连接的移动应用程序让司机通过移动设备管理车辆设置。除了移动应用程序,该服务还有网页版。
Vulnerability Lab的安全研究人员Benjamin Kunz Mejri昨日公布ConnectedDrive门户存在的两个零日漏洞,宝马过去5个月未对这两大漏洞进行修复。
漏洞1:VIN会话劫持
会话漏洞允许用户访问另一用户的VIN—车辆识别代码。VIN是每个用户帐号的车辆ID。VIN码备份车辆ConnectedDrive设置到用户的帐号。在门户网站更改这些设备将更改车载设置以及附带应用程序。
Mejri表示,他可以绕过VIN会话验证并使用另一VIN访问并修改另一用户的车辆设置。
ConnectedDrive门户的设置包括锁定/解锁车辆,管理歌曲播放列表、访问电子邮件账号、管理路由、获取实时交通信息等。
通俗的讲:其安全危险在于,除了能更改车辆收音机预设之外,黑客还能够打开用户的邮件、控制行车路线、锁定或解锁车辆。黑客获取用户的行车路线之后,可以知道用户停车地点,有可能通过远程解锁窃走车辆。
漏洞2: ConnectedDrive门后的XSS
第二个漏洞就是门户密码重置页面存在XSS(跨站脚本)漏洞。
这个XSS漏洞可能带来网络攻击,比如浏览器cookie获取、后续跨站请求伪造(Cross-site request forgery,缩写CSRF)、钓鱼攻击等。
Mejri声称,他2016年2月向BMW报告了两大漏洞。由于宝马没有及时回应Mejri的漏洞报告,于是Mejri将漏洞公开。
差不多一年前,安全研究员Samy Kamkar揭露,OwnStar汽车黑客工具包攻击过宝马远程服务。
小编说:汽车联网安全让我想起了国内互联网刚兴起时候的电脑安全,希望不要在引起重大损失之后才想起要装杀毒软件,虽说汽车厂商对网络安全这块算是新手,但也得加快步伐跟上车联网的脚步,跟不上那就与安全厂商合作吧,不然车联网将会进行的很困难,希望宝马能够重视!
