某汽车信息服务监控系统弱口令(可对近2W辆车进行定位、视频监控、车辆监听/通话/通信、对汽车断油断电等功能)

2015年7月21日06:52:47评论349 views字数 270阅读0分54秒阅读模式

摘要

2014-10-27：细节已通知厂商并且等待厂商处理中
2014-10-29：厂商已经确认，细节仅向厂商公开
2014-11-08：细节向核心白帽子及相关领域专家公开
2014-11-18：细节向普通白帽子公开
2014-11-28：细节向实习白帽子公开
2014-12-09：细节向公众公开

漏洞概要关注数(27) 关注此漏洞

缺陷编号： WooYun-2014-80649

漏洞标题：某汽车信息服务监控系统弱口令(可对近2W辆车进行定位、视频监控、车辆监听/通话/通信、对汽车断油断电等功能)

漏洞作者：机器猫

提交时间： 2014-10-27 21:34

公开时间： 2014-12-09 21:36

漏洞类型：基础设施弱口令

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

4人收藏

漏洞详情

披露状态：

简要描述：

妈妈说我是好孩子！

详细说明：

某公交车信息服务监控系统可实时监控（可远程发布操作信息）

登陆地址：http://**.**.**.**/login.aspx

admin/123456 账号密码

可对18801辆车进行视频监控、车辆监听/通话、对汽车断油断电等功能。

漏洞证明：

修复方案：

你们比我更专业！

版权声明：转载请注明来源机器猫@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2014-10-29 20:01

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-10-25 21:36 | ki11y0u ( 普通白帽子 | Rank:140 漏洞数:28 | 好好学习，求带飞 ~~~~~~~~~~~~~~~~~~~~~~...)

1

mark，好叼，断油断电。

1# 回复此人
2014-10-25 21:41 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

0

这系统真心nb，还能跟司机通信

2# 回复此人
2014-10-25 21:55 | 机器猫 ( 普通白帽子 | Rank:1358 漏洞数:291 | 爱生活、爱腾讯、爱网络！一个有梦想的16岁...)

0

@ki11y0u 对的，能断油断电，拽吧！

3# 回复此人
2014-10-25 21:57 | backtrack丶yao ( 普通白帽子 | Rank:298 漏洞数:110 )

0

记者拍这里

4# 回复此人
2014-10-25 22:05 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

0

还能不能愉快的车震了

5# 回复此人
2014-10-25 22:06 | ki11y0u ( 普通白帽子 | Rank:140 漏洞数:28 | 好好学习，求带飞 ~~~~~~~~~~~~~~~~~~~~~~...)

0

@机器猫拽拽拽，好拽。

6# 回复此人
2014-10-25 22:13 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

0

比我的那系统掉

7# 回复此人
2014-10-25 22:31 | Suner ( 路人 | Rank:21 漏洞数:2 | 再读小学生)

0

怎么车震。

8# 回复此人
2014-10-25 22:39 | 咸鱼翻身 ( 普通白帽子 | Rank:630 漏洞数:124 )

0

控制断油断电的话。。。。杀人于无形

9# 回复此人
2014-10-25 23:16 | 千域千寻 ( 路人 | Rank:22 漏洞数:8 | 帝吼天啸关山震皇天后土伏做臣)

0

我去这么快就开始黑汽车了！！来！把我的飞鸽牌儿自行车给黑了吧，

10# 回复此人
2014-10-25 23:29 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 冬眠者)

0

打赌移动车信通有跟注的吗

11# 回复此人
2014-10-25 23:53 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 冬眠者)

1

上次我讨论这个话题他们都说不可能洞主这次可提ABD出气了如果高速上断油的话 DOS攻击可导致车辆飞起侧翻威力无比建议互联网中心给作者合理的RANK 和证书

12# 回复此人
2014-10-26 08:25 | 红客十年 ( 普通白帽子 | Rank:392 漏洞数:80 | 去年离职富士康，回到家中上蓝翔，蓝翔毕业...)

0

@咸鱼翻身怎么好像是我提交过库带的……操作权限一模一样……

13# 回复此人
2014-10-26 09:14 | 大漠長河 ( 实习白帽子 | Rank:66 漏洞数:10 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区枫叶正...)

0

@红客十年车管家什么的问题很多大家都在琢磨 @机器猫看来巫（音同乌）师总是有猫相伴机器猫这回比超威蓝猫都要出名以后见猫绕行否则猫猫想干什么猫爪起抓落便可索命哈哈厉害

14# 回复此人
2014-10-26 10:21 | 咸鱼翻身 ( 普通白帽子 | Rank:630 漏洞数:124 )

0

@红客十年额

15# 回复此人
2014-10-26 11:36 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

0

@红客十年团长说不定就是你那个

16# 回复此人
2014-10-26 15:33 | 灬相随灬 ( 普通白帽子 | Rank:395 漏洞数:76 | 大胆天下去得，小心寸步难行。)

0

以前见过，后来就不弄了。。。。

17# 回复此人
2014-10-29 21:03 | 大漠長河 ( 实习白帽子 | Rank:66 漏洞数:10 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区枫叶正...)

0

提交时间： 2014-10-25 21:34 确认时间：2014-10-29 20:01 反应好快白帽子不满意客户不满意没准这货就是我用且研究的那款

18# 回复此人

漏洞概要 关注数(27) 关注此漏洞

缺陷编号： WooYun-2014-80649

漏洞标题： 某汽车信息服务监控系统弱口令(可对近2W辆车进行定位、视频监控、车辆监听/通话/通信、对汽车断油断电等功能)

相关厂商： cncert国家互联网应急中心

漏洞作者： 机器猫