丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

admin 2023年1月7日13:29:43安全新闻评论4 views1746字阅读5分49秒阅读模式

更多全球网络安全资讯尽在邑安全

丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

将近 20 家汽车制造商和服务包含 API 安全漏洞,这些漏洞可能允许黑客执行恶意活动,从解锁、启动和跟踪汽车到暴露客户的个人信息。

这些安全漏洞影响了知名品牌,包括宝马、劳莱斯、梅赛德斯-奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪。

这些漏洞还影响了汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。

这些 API 漏洞的发现来自于 Sam Curry 领导的研究团队,该团队此前曾于 2022 年 11 月披露了现代、捷恩斯、本田、讴歌、日产、Infinity 和 SiriusXM 的安全问题。

虽然 Curry 之前的披露解释了黑客如何利用这些漏洞解锁和启动汽车,但自报告这些问题以来,90 天的漏洞披露期已经过去,该团队发布 了一篇 关于 API 漏洞的更详细的博客文章。

受影响的供应商已修复本报告中出现的所有问题,因此现在无法利用它们。

访问内部门户

最严重的 API 漏洞出现在 BMW 和 Mercedes-Benz 中,它们受到公司范围内 SSO(单点登录)漏洞的影响,使攻击者能够访问内部系统。

对于梅赛德斯-奔驰,分析师可以访问多个私有 GitHub 实例、Mattermost 上的内部聊天频道、服务器、Jenkins 和 AWS 实例、连接到客户汽车的 XENTRY 系统等等。

丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

对于 BMW,研究人员可以访问内部经销商门户,查询任何汽车的 VIN,并检索包含敏感车主详细信息的销售文件。

此外,他们可以利用 SSO 漏洞以任何员工或经销商的身份登录并访问保留供内部使用的应用程序。

丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

公开所有者详细信息

利用其他 API 漏洞,研究人员可以访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、创世纪、宝马、劳莱斯、法拉利、福特、保时捷和丰田汽车车主的 PII(个人身份信息) .

在超贵汽车的情况下,披露车主信息尤其危险,因为在某些情况下,数据包括销售信息、实际位置和客户地址。

法拉利在其 CMS 上的 SSO 实施不佳,暴露了后端 API 路由,并使得从 JavaScript 片段中提取凭据成为可能。

攻击者可以利用这些漏洞访问、修改或删除任何法拉利客户帐户,管理他们的车辆资料,或将自己设置为车主。

丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

跟踪车辆GPS

这些漏洞还可能允许黑客实时跟踪汽车,引入潜在的物理风险并影响数百万车主的隐私。

保时捷是受影响的品牌之一,其远程信息处理系统存在缺陷,使攻击者能够检索车辆位置并发送命令。

GPS 跟踪解决方案 Spireon 也容易受到汽车位置泄露的影响,影响了 1550 万辆使用其服务的车辆,甚至允许完全管理访问其远程管理面板,使攻击者能够解锁汽车、启动引擎或禁用启动器。

丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

第三个受影响的实体是 Reviver,这是一家数字车牌制造商,容易受到未经身份验证的远程访问其管理面板的攻击,该面板可以让任何人访问 GPS 数据和用户记录、更改车牌消息等。

Curry 说明了这些缺陷如何使他们能够在 Reviver 面板上将车辆标记为“STOLEN”,这将自动将事件通知警方,从而使车主/司机面临不必要的风险。

丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

减少暴露

车主可以通过限制存储在车辆或移动配套应用程序中的个人信息量来保护自己免受此类漏洞的侵害。 

将车载远程信息处理设置为可用的最私密模式并阅读隐私政策以了解数据的使用方式也很重要。

Sam Curry 还与 BleepingComputer 分享了车主在购车时应遵循的以下建议。

“购买二手车时,请确保之前车主的帐户已被删除。使用强密码并尽可能为链接到您车辆的应用程序和服务设置 2FA(双因素身份验证)”

原文来自: bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/toyota-mercedes-bmw-api-flaws-exposed-owners-personal-info/

欢迎收藏并分享朋友圈,让五邑人网络更安全

丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日13:29:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息 https://cn-sec.com/archives/1502936.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: