丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息

将近 20 家汽车制造商和服务包含 API 安全漏洞，这些漏洞可能允许黑客执行恶意活动，从解锁、启动和跟踪汽车到暴露客户的个人信息。

这些安全漏洞影响了知名品牌，包括宝马、劳莱斯、梅赛德斯-奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪。

这些漏洞还影响了汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。

这些 API 漏洞的发现来自于 Sam Curry 领导的研究团队，该团队此前曾于 2022 年 11 月披露了现代、捷恩斯、本田、讴歌、日产、Infinity 和 SiriusXM 的安全问题。

虽然 Curry 之前的披露解释了黑客如何利用这些漏洞解锁和启动汽车，但自报告这些问题以来，90 天的漏洞披露期已经过去，该团队发布 了一篇 关于 API 漏洞的更详细的博客文章。

受影响的供应商已修复本报告中出现的所有问题，因此现在无法利用它们。

访问内部门户

最严重的 API 漏洞出现在 BMW 和 Mercedes-Benz 中，它们受到公司范围内 SSO（单点登录）漏洞的影响，使攻击者能够访问内部系统。

对于梅赛德斯-奔驰，分析师可以访问多个私有 GitHub 实例、Mattermost 上的内部聊天频道、服务器、Jenkins 和 AWS 实例、连接到客户汽车的 XENTRY 系统等等。

对于 BMW，研究人员可以访问内部经销商门户，查询任何汽车的 VIN，并检索包含敏感车主详细信息的销售文件。

此外，他们可以利用 SSO 漏洞以任何员工或经销商的身份登录并访问保留供内部使用的应用程序。

公开所有者详细信息

利用其他 API 漏洞，研究人员可以访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、创世纪、宝马、劳莱斯、法拉利、福特、保时捷和丰田汽车车主的 PII（个人身份信息） .

在超贵汽车的情况下，披露车主信息尤其危险，因为在某些情况下，数据包括销售信息、实际位置和客户地址。

法拉利在其 CMS 上的 SSO 实施不佳，暴露了后端 API 路由，并使得从 JavaScript 片段中提取凭据成为可能。

攻击者可以利用这些漏洞访问、修改或删除任何法拉利客户帐户，管理他们的车辆资料，或将自己设置为车主。

跟踪车辆GPS

这些漏洞还可能允许黑客实时跟踪汽车，引入潜在的物理风险并影响数百万车主的隐私。

保时捷是受影响的品牌之一，其远程信息处理系统存在缺陷，使攻击者能够检索车辆位置并发送命令。

GPS 跟踪解决方案 Spireon 也容易受到汽车位置泄露的影响，影响了 1550 万辆使用其服务的车辆，甚至允许完全管理访问其远程管理面板，使攻击者能够解锁汽车、启动引擎或禁用启动器。

第三个受影响的实体是 Reviver，这是一家数字车牌制造商，容易受到未经身份验证的远程访问其管理面板的攻击，该面板可以让任何人访问 GPS 数据和用户记录、更改车牌消息等。

Curry 说明了这些缺陷如何使他们能够在 Reviver 面板上将车辆标记为“STOLEN”，这将自动将事件通知警方，从而使车主/司机面临不必要的风险。

减少暴露

车主可以通过限制存储在车辆或移动配套应用程序中的个人信息量来保护自己免受此类漏洞的侵害。 

将车载远程信息处理设置为可用的最私密模式并阅读隐私政策以了解数据的使用方式也很重要。

Sam Curry 还与 BleepingComputer 分享了车主在购车时应遵循的以下建议。

“购买二手车时，请确保之前车主的帐户已被删除。使用强密码并尽可能为链接到您车辆的应用程序和服务设置 2FA（双因素身份验证）”

原文来自: bleepingcomputer.com

原文始发于微信公众号（邑安全）：丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息