神漏洞!只看一下车身,就能远程解锁十余款品牌汽车

admin 2022年12月5日22:54:28安全新闻评论40 views1895字阅读6分19秒阅读模式
神漏洞!只看一下车身,就能远程解锁十余款品牌汽车

点击上方蓝字关注我们测评你的薪资


关注用户弹出对话框开始测评
神漏洞!只看一下车身,就能远程解锁十余款品牌汽车
已关注用户点击下方即可测评

神漏洞!只看一下车身,就能远程解锁十余款品牌汽车


神漏洞!只看一下车身,就能远程解锁十余款品牌汽车


汽车广播超级供应商Sirius XM曝出漏洞,攻击者只需知道车辆识别码(VIN),就能远程解锁车门、启动联网车辆引擎。大多数情况下,汽车VIN码直接展露在汽车前挡风玻璃下方。


神漏洞!只看一下车身,就能远程解锁十余款品牌汽车


安全内参12月2日消息,美国广播公司Sirius XM的联网车辆服务修复了一个授权漏洞,此漏洞允许攻击者在只知道车辆识别码(VIN)的情况下,远程解锁车门、启动联网车辆引擎。

研究团队Yuga Labs的Sam Curry发布了一系列推文介绍了此漏洞,并表示Sirius XM发布的补丁已经修复安全问题。

这个漏洞影响到了本田、日产、英菲尼迪和讴歌等多个汽车品牌,Sirius XM联网车辆服务发言人通过邮件发布声明称:

“我们非常重视客户账户的安全,并参与了漏洞奖励计划,希望帮助识别并纠正可能对我平台造成影响的潜在安全漏洞。作为工作的一部分,有安全研究人员向Sirius XM的联网车辆服务提交了一份报告,上报了影响到特定远程信息处理程序的授权缺陷。该问题在报告提交的24小时内即得到解决。没有任何用户或其他数据受到损害,也没有任何账户受到这种未授权方法的篡改。”



今年早些时候,Curry和其他几位漏洞研究人员曾发现多个影响到不同汽车厂商的漏洞。糟糕的现实令他们不禁发问,“到底是谁在为这些汽车制造商提供远程信息处理服务?”

答案是Sirius XM。目前讴歌、宝马、本田、现代、英菲尼迪、捷豹、路虎、雷克萨斯、日产、斯巴鲁和丰田使用的联网汽车服务都来自该公司

研究人员们发现,该远程信息处理平台其实是使用汽车的VIN码(大多就直接展露在汽车前挡风玻璃下方)来授权指令、获取用户配置信息。

神漏洞!只看一下车身,就能远程解锁十余款品牌汽车

也就是说,只要攻击者知晓VIN码(在很多车型上,只要在车旁看一下就能找到),就可以向远程信息处理平台发送请求,进而远程解锁、启动、定位车辆,包括激活车上的灯光和喇叭

根据Curry的说法,该团队打算很快公布关于汽车入侵案例的更多调查结果。另外,他们还收到了关于下一步攻击目标和预期效果的请求。一位推特用户请他们“下一次试试OnStar。”


汽车漏洞并不鲜见

今年早些时候,安全研究人员还在本田汽车上发现过另一个漏洞,允许恶意黑客远程启动并解锁2016年至2020年间生产的思域轿车

此漏洞被编号为CVE-2022-27254,发现者为马萨诸塞大学达特茅斯分校的学生Ayyappan Rajesh和一位昵称叫HackingIntoYourHeart的研究者。

他们在研究中感谢了导师Sam Curry的协助,并解释称“各款本田汽车在每次开门、关门、启动和远程启动时都会发送相同的、未经加密的RF信号。攻击者可以窃听请求并实施重放攻击。”


参考资料:theregister.com


声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安圈评立场,转载目的在于传递更多信息。如有侵权,请联系下方微信



神漏洞!只看一下车身,就能远程解锁十余款品牌汽车



神漏洞!只看一下车身,就能远程解锁十余款品牌汽车
神漏洞!只看一下车身,就能远程解锁十余款品牌汽车

安圈评现有人才资源群,有公司招聘和人员求职

高端人才共享群:①②③④

区域人才共享群:华南、华中、华东、西南、西北、东北、京津冀①②

进群请扫下方二维码 (备注公司全称+姓名)

如需发布公司招聘信息,请联系微信

找工作的小伙伴也可以联系我们哦(求职信息会在保护个人信息的前提下发布

神漏洞!只看一下车身,就能远程解锁十余款品牌汽车


神漏洞!只看一下车身,就能远程解锁十余款品牌汽车



往期推荐

揭秘:俄乌冲突一线的美国网络防御支援小组

-RSAC 2022展会最受关注的十大创新安全厂商

工信部通报84款存在侵害用户权益行为APP

南非总统的个人信贷数据泄露:该国已沦为“黑客乐园”

-数百万美元乌克兰拖拉机被远程“变砖”

印度第二大航司遭勒索软件攻击,大量乘客滞留在机场

俄最大银行遭到最严重DDoS攻击,普京称正经历“信息空间战争”

盘点:最可怕的六种移动攻击策略

重磅!美国司法部修订法律,不再起诉白帽黑客行为

勒索软件攻击已造成国家危机!该国总统说:有内鬼配合

“白菜价”木马或将引发恶意软件价格战

勒索软件不只是赎金,还有更多的隐性成本

生活中的垃圾短信应该如何屏蔽

企业SaaS应用中的十大数据访问风险

网络安全行业低价中标到底行不行?

400万以下项目不用公开招标了吗?

俄罗斯多个联邦政府网站遭遇供应链攻击:显示篡改内容

针对乌克兰的数据擦除攻击盛行!第四个新样本被发现

循序渐进!开展零信任建设时应做好的16项准备

国务院:不符合网络安全要求的政务信息系统未来将不给经费

生活中的垃圾短信应该如何屏蔽

韩国加入北约网络防御中心 成首个加入的亚洲国家

欧洲刑警组织:Deepfakes对网络安全和社会的威胁越来越大


神漏洞!只看一下车身,就能远程解锁十余款品牌汽车

点个在看你最好看


原文始发于微信公众号(安圈评):神漏洞!只看一下车身,就能远程解锁十余款品牌汽车

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月5日22:54:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  神漏洞!只看一下车身,就能远程解锁十余款品牌汽车 https://cn-sec.com/archives/1445992.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: