卡巴斯基披露梅赛德斯-奔驰车载信息娱乐系统漏洞细节
HackerNews 编译,转载请注明出处: 卡巴斯基日前披露了梅赛德斯-奔驰MBUX车载信息娱乐系统中发现的十多个漏洞,虽然这些漏洞已经被修复,且不易被利用,但梅赛德斯-奔驰仍向用户保证,漏洞已得到修复。 卡巴斯基对梅赛德斯-奔驰MBUX系统的研究基于2021年由中国团队发布的研究成果。卡巴斯基在其博客中发布了相关发现,并开始发布针对每个漏洞的安全建议。此次研究聚焦于第一代MBUX系统。 其中,部分漏洞可被利用发起拒绝服务(DoS)攻击,另一些则可用于获取数据、命令注入和提升权限。 卡巴斯基表示,已经演示了物理访问目标车辆的攻击者如何利用其中一些漏洞禁用车载系统的防盗保护、对车辆进行调校,并解锁付费服务。这些攻击通过USB或定制的UPC连接实施。 这些漏洞已被分配了2023年和2024年的CVE标识符,但梅赛德斯-奔驰向《SecurityWeek》表示,自2022年以来,公司就已知悉卡巴斯基的发现。 梅赛德斯-奔驰发言人在一份电子邮件声明中表示:“2022年8月,一组外部安全研究人员联系了我们,针对第一代MBUX(梅赛德斯-奔驰用户体验)提出了相关问题。” “研究人员提到的问题需要对车辆进行现场物理访问,并进入车辆内部,此外,还需拆卸并打开车载系统。新版本的车载信息娱乐系统不受影响,”发言人补充道。 梅赛德斯-奔驰表示,产品和服务的安全性“高度优先”,并呼吁研究人员通过公司的漏洞披露计划报告发现的问题。 此前,研究人员披露过可被利用的漏洞,声称这些漏洞可被用于远程黑客攻击梅赛德斯-奔驰汽车。 其他与梅赛德斯-奔驰相关的网络安全问题还涉及公司IT基础设施。去年,研究人员报告称,一名梅赛德斯-奔驰员工泄露的GitHub令牌使得外界能够访问公司GitHub Enterprise服务器上存储的所有源代码。 消息来源:Security Week, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
奔驰、宝马等汽车品牌存在 API 漏洞,可能暴露车主个人信息
Bleeping Computer 网站披露,近 20 家汽车制造商和服务机构存在 API 安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。 据悉,API 漏洞主要影响宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪等其知名汽车品牌。此外,漏洞还影响汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。 谁发现了 AP I安全漏洞? 网络安全研究员 Sam Curry 和其研究团队,在数十家顶级汽车制造商生产的车辆和车联网服务中,发现了API 漏洞问题。 此前,Sam Curry于 2022 年 11 月披露了现代、Genesis、本田、讴歌、日产、英菲尼迪和 SiriusXM 的安全问题。 目前,受影响的供应商已经修复所有漏洞问题,现在无法利用这些漏洞。在经过了 90 天的漏洞披露期后,Curry 团队发表了一篇关于更详细的 API 漏洞博客文章,展示了黑客如何利用这些漏洞来解锁和启动汽车。 攻击者可以利用漏洞,访问内部系统 宝马和奔驰中发现了最严重的 API 漏洞,这些漏洞受到 SSO(单点登录)漏洞的影响,攻击者可以利用访问内部业务系统。 例如在对梅赛德斯-奔驰的测试中,研究人员可以访问多个私有 GitHub 实例、Mattermost 上的内部聊天频道、服务器、Jenkins 和 AWS 实例,并成功连接到客户汽车的 XENTRY 系统 等。 梅赛德斯-奔驰内部系统(资料来源:Sam Curry) 在对宝马的测试中,研究人员可以访问内部经销商门户网站,查询任何汽车的 VIN,并检索包含敏感车主信息的销售文件。此外,攻击者还可以利用 SSO 漏洞,以员工或经销商的身份登录账户,访问保留给内部使用的应用程序。 访问宝马门户网站上的车辆详细信息(资料来源:Sam Curry) 暴露车主详细信息 研究人员利用其它 API 漏洞,可以访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、创世纪、宝马、劳斯莱斯、法拉利、福特、丰田、保时捷等汽车品牌车主的个人身份信息。 对于豪华品牌汽车来讲,披露车主信息特别危险,因为在某些情况下,数据中包括销售信息、物理位置和客户居住地址。例如法拉利在其 CMS 上的 SSO 漏洞,暴露了后端 API 路线,使其有可能从 JavaScript 片段中提取凭据。攻击者可以利用这些漏洞访问、修改或删除任何法拉利客户账户,管理他们的车辆资料,甚至可以将自己设定为车主。 披露法拉利用户数据细节(资料来源:Sam Curry) 跟踪车辆 GPS API 漏洞可能允许黑客实时跟踪汽车,带来潜在的物理风险,并影响到数百万车主的隐私,其中保时捷是最受影响的品牌之一,其远程信息处理系统漏洞使攻击者能够检索车辆位置并发送指令。 GPS 跟踪解决方案 Spireon 也易受汽车位置泄露的影响,涉及到 1550 万辆使用其服务的车辆,甚至允许管理员访问其远程管理面板,使攻击者能够解锁汽车、启动引擎或禁用启动器。 Spireon 管理面板上的历史 GPS 数据(资料来源:Sam Curry) 值得一提的是,数字车牌制造商 Reviver 也容易受到未经验证的远程访问其管理面板的影响,该面板可能允许任何人访问 GPS 数据和用户记录、更改车牌信息等。 Curry 表示这些漏洞或允许攻击者在 Reviver 面板上将车辆标记为 “被盗”,这会自动将事件通知警方,从而使车主/驾驶员面临不必要的风险。 远程修改 Reviver 车牌(资料来源:Sam Curry) 最大限度地减少安全风险 车主可以通过最大限度减少存储在车辆或汽车 APP 中的个人信息,来保护自己免受此类漏洞的影响。此外,将车载远程信息处理设置为最高私密等级,并阅读汽车厂家的隐私政策,以了解其数据的使用方式也至关重要。 最后,Sam Curry 着重强调,当购买二手车时,请确保前车主的帐户已被彻底删除。如果有条件的话,尽量使用强密码,并为车辆的应用程序和服务设置双因素认证。 转自 Freebuf,原文链接:https://www.freebuf.com/news/354346.html 封面来源于网络,如有侵权请联系删除
梅赛德斯奔驰 OLU 源代码在网上曝光
外媒ZDNet获悉,梅赛德斯-奔驰货车上安装的“智能汽车”零部件源代码上周末在网上泄露。而在泄密事件发生之前,瑞士软件工程师Till Kottmann发现了一个属于戴姆勒公司(Daimler AG)的Git门户网站。戴姆勒是一家德国汽车公司,旗下拥有梅赛德斯-奔驰汽车品牌。 Kottmann告诉ZDNet,他可以在戴姆勒的代码托管门户上注册一个帐户然后下载580多个Git存储库,其中包含了梅赛德斯奔驰货车上安装的车载逻辑单元(OLU)的源代码。 什么是OLU? 根据戴姆勒的网站,OLU是介于汽车硬件和软件之间的一个组件,它负责将车辆连接到云端。 戴姆勒表示,OLU简化了对实时车辆数据的技术访问和管理并允许第三方开发人员创建从奔驰货车检索数据的应用程序。 这些应用程序通常用于跟踪货车在路上的情况、跟踪货车的内部状态或用于冷冻货车以防盗窃情况发生。 不安全的GitLab安装泄漏了OLU代码 Kottmann告诉ZDNet,他发现戴姆勒的GitLab服务器使用了一些简单的东西如Google dorks(专门的Google搜索查询)。 GitLab是一个基于web的软件包,各大公司用它来集中处理Git存储库。 Git是一种专门用于跟踪源代码更改的软件,它允许多人工程团队编写代码,然后将代码同步到一个中央服务器–在本例中则是戴姆勒基于Gitlab的网页门户。 Kottmann告诉ZDNet:“当我感到无聊的时候,我经常会寻找有趣的GitLab实例,大多数情况下都是使用简单的Google dork,对于几乎没有考虑到安全设置这件事一直让我感到惊讶。” Kottman表示,戴姆勒未能实施账户确认流程,而这使其能使用一个不存在的戴姆勒公司电子邮件在公司的官方GitLab服务器上注册一个账户。 这位研究人员称,他从公司的服务器上下载了超580个Git存储库,他计划在周末将其公开并将文件上传到文件托管服务MEGA、Internet Archive和他自己的GitLab服务器等几个地方。 针对这一情况,ZDNet审查了一些泄漏的Git存储库。他们查看的文件中没有一个包含开源许可,这表明这这些文件都是不应该公开的专有信息。 泄露的项目包括梅赛德斯厢式货车OLU组件的源代码,另外还有树莓派图像、服务器图像、用于管理远程OLU的戴姆勒内部组件、内部文档、代码样本等等。 虽然一开始泄露的数据看起来无害,但负责审查数据的威胁情报公司告诉ZDNet,他们发现了戴姆勒内部系统的密码和API令牌。如果这些密码和访问令牌落到一些怀有坏心思的人手中则可能会被用来计划和发动针对戴姆勒云计算和内部网络的入侵。 现在,ZDNet和Under the Breach都已经跟戴姆勒公司取得了联系,该公司已经从GitLab服务器下载了这些数据。不过戴姆勒发言人没有回复记者的正式置评请求。 Kottmann告诉ZDNet,他打算把戴姆勒的源代码留在网上,直到该公司要求他删除源代码。 然而,关于Kottmann行为的合法性仍存在一些疑问,因为他没有在周末在线发布源代码之前试图通知公司。 而另一方面,GitLab服务器允许任何人注册一个帐户,有些人可能会将其解释为一个开放的系统。此外,ZDNet在今日早些时候审查的源代码并没有出现这是专有技术的警告。 (稿源:cnBeta,封面源自网络。)