安全专家公布影响数百万车辆的多个漏洞

快讯
2023
01/09
08:17
IT之家
分享
评论

来源:IT之家

安全专家近日发现了影响数百万辆汽车的安全漏洞,全球几乎所有主要汽车品牌均受影响。黑客可以利用汽车远程信息处理系统、汽车 API 和支持性基础设施中的漏洞进行各种操作,甚至可以远程完全接管你的汽车。

IT 之家了解到,奔驰、宝马、劳斯莱斯、法拉利、福特、保时捷、丰田、捷豹和路虎等汽车品牌,还有车队管理公司 Spireon 和数字车牌公司 Reviver 均受到影响。

Yuga 实验室的 Sam Curry 在研究破解汽车过程中,在现代和 Genesis 的多款车型中发现了漏洞,并发现 Sirius XM 的 Connected Vehicle Services 漏洞影响本田、日产、英菲尼迪和 Acuras。

Curry 表示:" 受影响的公司都在报告后的一两天内修复了这些问题。我们与所有这些公司合作,对其进行验证,并确保不会绕过这些漏洞 "。

基于 Curry 的漏洞研究,安全专家又陆续发现了多个波及范围很广的安全漏洞。从公共安全的角度来看,最严重的漏洞是在 Spireon 发现的,该公司拥有几个 GPS 车辆跟踪和车队管理品牌,包括 OnStar、GoldStar、LoJack、FleetLocate 和 NSpire,覆盖 1500 万辆联网车辆。

库里和团队发现了 SQL 注入和授权绕过方面的多个漏洞,可以在所有 Spireon 上执行远程代码,并完全接管任何车队车辆。

研究人员写道:" 这将使我们能够跟踪和关闭一些不同大城市的警察、救护车和执法车辆的启动器,并向这些车辆发出指令 "。

研究人员写道:" 这些漏洞还让他们获得了对 Spireon 公司的完全管理员权限和一个全公司的管理面板,攻击者可以从这个面板上向所有 1500 万辆汽车发送任意命令,从而远程解锁车门、按喇叭、启动引擎和禁用启动器 "。

此外研究人员还发现了针对法拉利汽车的过度许可访问控制漏洞,允许他们访问几个内部应用程序的 JavaScript 代码。该代码包含 API 密钥和凭证,可能允许攻击者访问客户记录并接管(或删除)客户账户。

研究人员表示攻击者可以 POST 到 "/core/ api / v1 / Users/:id / Roles" 端点,编辑他们的用户角色,设置自己拥有超级用户权限或成为法拉利所有者。

THE END
广告、内容合作请点击这里 寻求合作
业界
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表砍柴网的观点和立场。

相关热点

厦门一名女生被某网络纪念馆 " 误 " 收录,6 年间访问祭奠人数达 4.3 万余次。据悉该网络纪念平台收录了这名仍在生的女生的详细信息,包括个人生活照、" 生平 " 资料,甚至还为其写了悼词。
每日快讯
法国人的想象力一直天马行空,尤其体现在造车这方面,总能带给人一些眼前一亮的作品。
每日快讯
电脑用户应该都用过 IE 浏览器,不过这个始于 Win95 时代的浏览器在 27 年后还是要被放弃了,微软现在的重点放在了 Edge 浏览器上,不仅技术更新,而且性能更好,CPU 及内存占用大幅下降。
每日快讯
西祠胡同,又一个国内互联网行业历史中曾经赫赫有名的论坛,将自己放到了拍卖台上。
每日快讯
近日," 年轻人为什么不愿换手机 ""00 后为什么不愿换手机 " 等话题火热起来。有报道称,有的 00 后一部手机能用超过 4 年。
业界

相关推荐

1
3