加利福尼亚州的街头合法墨水车牌在 10 月份才得到美国政府的认可,但逆向工程师已经发现了系统中的漏洞,允许他们跟踪每个车牌,重新编程甚至随意删除它们。
在安全研究员 Sam Curry 的一篇博客文章中,他描述了一个针对数字车牌制造商 Reviver 的项目以及一些其他汽车安全实验(文末提供全文地址)。
Reviver 的系统是市场上唯一可商用数字车牌的制造商,也是推动加州电子墨水车牌合法化的公司,它的系统引起了 Curry 和他的朋友们的注意,因为它包含车牌的内部跟踪工具。
由于车牌可用于跟踪车辆,我们对 Reviver 非常感兴趣并开始审核移动应用程序。
作为试点计划的一部分,Reviver 车牌于 2017 年开始出现在加州的道路上。Reviver 表示,它从 2017 年开始部署了大约 10000 个,直到试点计划在合法化之前结束。
如果车辆在车主不知情的情况下被移动,电子墨水车牌的一项功能是通知车主。如果是这样,车牌可以更改为 STOLEN。
在进一步挖掘和创建新的 Reviver 帐户后,Curry 和朋友们发现他们的帐户被分配了一个唯一的“公司”JSON 对象,允许他们将子用户添加到他们的帐户。
有趣的是,公司对象中的其他几个 JSON 字段也是可编辑的,包括将帐户类型定义为“CONSUMER”的字段。
其他帐户类型未在移动应用程序中列出,因此 Curry 和同事求助于 Reviver 的密码重置 URL。
我们观察到 [密码重置] 网站具有大量功能,包括管理车辆、车队和用户帐户的能力。
网站上的 JavaScript 还包含其他角色的完整列表,工作人员发现他们可以将帐户类型编辑为他们想要的任何类型。
Curry 和他的朋友们最终获得了一个名为 REVIVER 的角色的访问权限,该角色破坏了密码重置网站的 UI,这给他们提供了线索,因为它实际上可能是一个管理员帐户,并非设计用于与消费者界面交互。
原来是这样。
我们可以进行任何正常的 API 调用(查看车辆位置、更新车牌、向帐户添加新用户)并使用我们的超级管理员帐户在完全授权的情况下执行操作;该站点还允许他们访问车队管理功能。
库里发现他可以授予自己许可,因此也有可能进行拖钓。REVIVER 角色还授予访问任何包装车牌的经销商的权限,允许 Curry 将默认图像从 DEALER 更改为任何不合适的短语。
除了提升实验中使用的帐户的权限外,Curry 还表示公司角色对象允许邀请子用户,允许他邀请其他具有提升权限的人。
真正的攻击者可以远程更新、跟踪或删除任何人的 REVIVER 车牌。
该漏洞已报告给 Reviver,Curry 称其“在 24 小时内”对其进行了修补。
该公司证实了这一点:“我们为我们团队的快速反应感到自豪,我们的调查证实,这个潜在的漏洞没有被滥用。客户信息没有受到影响,也没有证据表明存在持续的风险与这份报告有关。”
Reviver 车牌在加利福尼亚州、亚利桑那州和密歇根州是合法的,在德克萨斯州仅适用于商用车。
其他几个州正在试点这项技术;两年期合同的价格在 800 美元到近 1,000 美元之间,希望 Reviver 现在比发布时更安全一些。
网络黑客与汽车行业:法拉利、宝马、劳斯莱斯、保时捷等汽车的关键漏洞
调查结果摘要
在我们的参与过程中,我们发现下列公司存在以下漏洞:
-
起亚、本田、英菲尼迪、日产、讴歌
-
特别是对于起亚,我们可以远程访问 360 度摄像头并查看汽车的实时图像
-
完全远程锁定、解锁、发动机启动、发动机停止、精确定位、闪光灯和仅使用 VIN 号的车辆鸣喇叭
-
通过 VIN 号码(姓名、电话号码、电子邮件地址、实际地址)进行完全远程帐户接管和 PII 披露
-
能够将用户锁定在远程管理他们的车辆之外,改变所有权
-
Mercedes-Benz
-
SSO 背后的多个 Github 实例
-
公司范围内的内部聊天工具,能够加入几乎任何频道
-
SonarQube,詹金斯,杂项。搭建服务器
-
用于管理 AWS 实例的内部云部署服务
-
内部车辆相关 API
-
通过配置不当的 SSO 访问数百个关键任务内部应用程序,包括……
-
多个系统上的远程代码执行
-
内存泄漏导致员工/客户 PII 泄露、帐户访问
-
现代、创世纪
-
完全远程锁定、解锁、发动机启动、发动机停止、精确定位、闪光灯和仅使用受害者电子邮件地址的喇叭车辆
-
通过受害者电子邮件地址(姓名、电话号码、电子邮件地址、实际地址)进行完全远程帐户接管和 PII 披露
-
能够将用户锁定在远程管理他们的车辆之外,改变所有权
-
宝马、劳斯莱斯
-
访问内部经销商门户,您可以在其中查询任何 VIN 号码以检索 BMW 的销售文件
-
代表任何员工访问锁定在 SSO 后面的任何应用程序,包括远程工作人员和经销商使用的应用程序
-
公司范围内的核心 SSO 漏洞使我们能够像任何员工一样访问任何员工应用程序,使我们能够……
-
法拉利
-
任何法拉利客户帐户的完全零交互帐户接管
-
IDOR 访问所有法拉利客户记录
-
缺乏访问控制,允许攻击者创建、修改、删除员工“后台”管理员用户帐户和所有能够通过 CMS 系统修改法拉利拥有的网页的用户帐户
-
能够在 api.ferrari.com(rest-connectors)上添加 HTTP 路由并查看所有现有的 rest-connectors 和与之关联的秘密(授权标头)
-
斯皮龙
-
拥有对全公司管理面板的完全管理员访问权限,能够向大约 1550 万辆汽车发送任意命令(解锁、启动引擎、禁用启动器等)、读取任何设备位置以及刷新/更新设备固件
-
在用于管理用户帐户、设备和车队的核心系统上执行远程代码。能够访问和管理整个 Spireon 的所有数据
-
完全接管任何车队的能力(这将使我们能够跟踪和关闭许多不同大城市的警察、救护车和执法车辆的启动器,并向这些车辆发送命令,例如“导航到此位置”)
-
对所有 Spireon 产品的完全管理权限,包括以下……
-
总共有……
-
金星 - https://www.spireon.com/products/goldstar/
-
LoJack - https://www.spireon.com/products/goldstar/lojackgo/
-
FleetLocate - https://www.spireon.com/products/fleetlocate-for-fleet-managers/
-
NSpire - https://www.spireon.com/spireon-nspire-platform/
-
预告片和资产 - https://www.spireon.com/solutions/trailer-asset-managers/
-
1550 万台设备(主要是车辆)
-
120 万个用户帐户(最终用户帐户、车队经理等)
-
多个漏洞,包括:
-
福特
-
披露客户 PII 和访问令牌,以便在车辆上跟踪和执行命令
-
公开用于与远程信息处理相关的内部服务的配置凭证
-
能够对客户帐户进行身份验证并访问所有 PII 并对车辆执行操作
-
量产车 Telematics API 的完整内存泄露
-
通过不正确的 URL 解析接管客户帐户,允许攻击者完全访问受害者帐户,包括车辆门户
-
复活
-
跟踪物理 GPS 位置并管理所有 Reviver 客户的车牌(例如,将车牌底部的标语更改为任意文本)
-
将任何车辆状态更新为“STOLEN”,更新车牌并通知当局
-
访问所有用户记录,包括人们拥有的车辆、他们的实际地址、电话号码和电子邮件地址
-
访问任何公司的车队管理功能,定位和管理车队中的所有车辆
-
完全超级管理访问权限,可以管理所有 Reviver 连接车辆的所有用户帐户和车辆。攻击者可以执行以下操作:
-
保时捷
-
能够通过影响车辆远程信息处理服务的漏洞发送检索车辆位置、发送车辆命令和检索客户信息
-
丰田
-
丰田金融的 IDOR,披露任何丰田金融客户的姓名、电话号码、电子邮件地址和贷款状态
-
捷豹、路虎
-
用户帐户 IDOR 泄露密码哈希、姓名、电话号码、实际地址和车辆信息
-
天狼星XM
-
泄露的 AWS 密钥具有完整的组织读/写 S3 访问权限,能够检索所有文件,包括(似乎是)用户数据库、源代码和 Sirius 的配置文件
漏洞报告
(1) 通过错误配置的 SSO 全面接管 BMW 和 Rolls Royce 的帐户
(2) 通过错误配置的 SSO 远程执行代码并访问梅赛德斯-奔驰和劳斯莱斯的数百个内部工具
(3) Ferrari 的完全帐户接管和任意帐户创建允许攻击者访问、修改和删除所有客户信息并访问管理 CMS 功能以管理 Ferrari 网站
(4) Spireon 系统上的 SQL 注入和正则表达式授权绕过允许攻击者访问、跟踪和发送任意命令到 1500 万个远程信息处理系统,此外还完全接管警察局、救护车服务、卡车司机和许多商业车队系统的车队管理系统
(5) Reviver 上的批量分配允许攻击者远程跟踪和覆盖所有 Reviver 客户的虚拟车牌,跟踪和管理 Reviver 车队,以及访问、修改和删除所有用户信息
(6) 影响现代和捷恩斯的完全远程车辆访问和完全帐户接管
(7) 影响本田、日产、英菲尼迪、讴歌的完全远程车辆访问和完全帐户接管
(8) 通过批量分配对日产进行全车接管
全文链接:
https://samcurry.net/web-hackers-vs-the-auto-industry/
原文始发于微信公众号(网络研究院):加州电子墨水制版机被利用来跟踪配备的汽车
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论