丰田、奔驰、宝马等API漏洞暴露车主个人信息

这些漏洞也影响多个汽车技术品牌Spireon和Reviver以及流服务SiriusXM。2022年11月，这些研究员曾披露了现代、捷尼赛思、本田、讴歌、日产、英菲尼迪以及SiriusXM中存在的漏洞问题。虽然在此前的研究中，研究人员解释了黑客可如何利用这些漏洞解锁和启动汽车，不过由于90天的最后期限已到，因此他们披露了关于这些API漏洞的更详细内容。

最严重的API漏洞位于宝马和奔驰，它们均受企业范围内SSO漏洞的影响，可导致内部系统遭访问。对于奔驰，分析师可访问多个私有GitHub 实例、Mattermost上的多个聊天信道、服务器、Jenkins 和 AWS实例、连接客户汽车的XENTRY系统等。对于宝马，研究人员可访问内部交易门户，查询任何汽车的VIN以及检索包含敏感车主详情的销售文档。另外，他们还能利用这些SSO漏洞以任意员工或交易商的身份登录，并访问专为内部使用的应用程序。

利用其它API漏洞可使研究人员访问起亚、本田、英菲尼迪、日产、讴歌、奔驰、现代、捷尼赛思、宝马、劳斯莱斯、法拉利、福特、保时捷和丰田汽车的车主个人可识别信息。

在豪车案例中，披露车主信息非常危险，因为在某些情况下这些数据包括销售信息、物理位置信息以及客户地址信息。法拉利在CMS上的SSO执行非常糟糕，可泄露后台API路由并可导致攻击者从JavaScript代码片段中提取凭据。攻击者可利用这些漏洞访问、修改或删除任意法拉利客户账户、管理车辆信息或将它们自己设为车主。

这些漏洞可导致黑客实时追踪汽车、引入潜在的物理风险并影响数百万名车主的隐私。

保时捷是受影响的品牌之一，漏洞位于其遥测系统中，可导致攻击者检索车辆位置并发送命令。GPS追踪解决方案Spireon 还易受车辆位置披露影响，对使用其服务的1550万辆汽车造成影响，甚至可能导致攻击者对其远程管理面板具有完全的管理员访问权限，导致攻击者解锁汽车、启动引擎或禁用起动机。第三个受影响的是Reviver，它是一家数字化车牌厂商，其管理员面板易遭未认证的远程访问，可导致其GPS数据和用户记录遭任何人访问，许可车牌通信遭修改等。

研究人员说明了如何利用这些漏洞在Reviver面板上将车辆标记为“被盗”，而这一标记行为将自动向警察通知该事件，导致车主/司机处于不必要的风险中。

车主可通过限制汽车或移动伴侣应用中存储的个人信息量来免受此类漏洞影响。同时也有必要在可用的最私密模式中设置车载信息服务，并阅读隐私策略，了解数据的使用方式。

研究人员还给出了购车建议，他们指出，“当购买二手车时，确保之前车主的账号已被清除。在可能的情况下为与汽车相连的应用和服务使用强密码并设置双因素认证。”

Spireon 公司的一名发言人回应称，“我们的网络安全专业人员和研究人员见面，讨论并评估了系统漏洞并立即执行了必要的修复措施。我们也采取积极主动的措施，进一步增强了产品安全性，并作为零件市场车载信息服务解决方案的领先提供商，继续竭诚为客户服务。Spireon 严肃对待所有安全问题并利用业内领先的工具集监控并扫描产品和服务中的已知和潜在的安全风险。”

题图：Pexels License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~