知名白帽黑客Sam Curry以及其安全研究团队,针对接近20家汽车制造商进行安全研究,发现各家厂商系统皆有大小不一的漏洞,不只暴露车主个人资料,甚至能够让攻击者解锁、启动和关注车辆。目前这些漏洞都已经被解决。
受影响的汽车品牌包括起亚(Kia)、本田(Honda)、Infiniti、日产(Nissan)、Acura、奔驰(Mercedes-Benz)、现代(Hyundai)、Genesis、BMW、劳斯莱斯(Rolls Royce)、法拉利(Ferrari)、福特(Ford)、保时捷(Porsche)、丰田(Toyota)、捷豹(Jaguar)、Land Rover,其中包括车载系统厂商Spireon与Reviver,还有流媒体服务商SiriusXM。
研究团队特别说明了几项比较严重的问题,其中包括存在SSO错误配置所衍生安全问题的BMW、Rolls Royce和Mercedes-Benz。通过利用错误配置的SSO,攻击者将可对BMW、Rolls Royce发动账户接管攻击,尤其研究团队发现BMW员工和承承包商的SSO入口,该门户网站发现的漏洞,可让攻击者入侵任何与BMW资产相连的账户。
该SSO入口除了是经销商的入口之外,还被用于访问内部工具和相关DevOps基础设施,研究团队证明攻击者可以自己绑定经销商账户,并且访问经销商权限,包括查询车辆识别号码并检索车辆销售文件,执行针对BMW、Rolls Royce客户账户和客户车辆的大量功能。
而Mercedes-Benz同样也存在错误配置SSO的问题,研究人员通过该漏洞进到Mercedes-Benz GitHub实例,访问各种项目内部文件和程序代码,包括让车主远程连接车辆的Mercedes Me Connect应用程序。同时该漏洞还可让攻击者登录众多具有敏感资料的应用程序,像是Spring Boot控制台、AWS和Jenkins执行实例,以及各种员工内部使用的应用程序,攻击者甚至能够进入Mercedes-Benz内部Slack提问,以进一步获得必要资讯。
Kia也存在严重的安全漏洞,研究人员通过弃用的经销商入口,便可以全面接管车辆,执行锁定、解锁、远程启动、远程停止、定位,以及对车载摄影机拥有完全远程访问权限。而Ferrari则是因为客户关系管理系统SSO实例不佳,暴露后端API路由,攻击者有机会截取凭证,并且访问、修改和删除所有客户资讯,甚至能够取得客户关系管理系统的管理权限。
研究人员发现的漏洞,甚至允许攻击者即时关注车辆的GPS,Porsche的远程资讯系统存在缺陷,让攻击者能够检索车辆位置并且发送命令,GPS关注解决方案Spireon则容易暴露客户汽车位置,允许攻击者访问远程管理面板、解锁汽车和启动引擎等。数字车牌制造商Reviver允许攻击者取得超级管理权限,访问车辆GPS位置以及所有客户的车牌之外,甚至可以将车辆状态变更为遭窃。
Sam Curry提到,之所以会开始这项车辆安全计划,是因为之前意外发现大学中的滑板车应用程序存在漏洞,能够被用来远程控制所有滑板车的音箱和前灯,而他们意识到过去5年的汽车几乎拥有相同的功能,只要能够在车辆远程控制系统的API找到漏洞,就能够远程触发音箱、闪光灯,甚至启动和停止车辆。