影响16个不同制造商的数百万辆汽车的多个漏洞可能会被滥用以解锁、启动、跟踪汽车并影响车主隐私。起亚、本田、英菲尼迪、日产、讴歌,尤其是起亚,我们可以远程访问360度摄像头并查看汽车的实时图像完全远程锁定、解锁、发动机启动、发动机停止、精确定位、闪光灯和仅使用VIN号车辆通过VIN号码(姓名、电话号码、电子邮件地址、实际地址)通过完全远程帐户接管和PII披露鸣笛工具,能够加入几乎任何频道SonarQube、Jenkins、Miscellaneous。为管理AWS实例而构建的服务器内部云部署服务内部车辆相关API通过错误配置的SSO访问数百个关键任务内部应用程序,包括...在多个系统上远程执行代码内存泄漏暴露员工/客户PII,帐户访问现代,Genesis完全远程锁定、解锁、发动机启动、发动机停止、精确定位、闪光灯和喇叭车辆仅使用受害者电子邮件地址(姓名、电话号码、电子邮件地址、实际地址)进行完全远程帐户接管和PII披露能力锁定用户不再远程管理他们的车辆更改所有权BMW、RollsRoyce访问内部经销商门户,您可以在其中查找任何VIN号码以检索BMW销售文件代表任何员工访问锁定在SSO后的任何应用程序,包括远程工作人员和经销商使用的应用程序A公司范围内的核心SSO漏洞使我们能够像访问任何员工一样访问任何员工应用程序,从而使我们能够……法拉利完全归零-任何Ferrari客户帐户的交互帐户接管IDOR访问所有Ferrari客户记录缺乏访问控制,允许攻击者创建、修改、删除员工“后台”管理员用户帐户和所有能够通过CMS修改Ferrari拥有的网页的用户系统帐户能够在api.ferrari.com(rest-connectors)上添加HTTP路由,并查看所有现有的rest-connectors和与之关联的秘密(授权标头)向用于管理用户帐户、设备和车队的核心系统上的大约1550万辆汽车发送任意命令(解锁、启动引擎、禁用启动器等)、读取任何设备位置以及刷新/更新设备固件执行远程代码.访问和管理Spireon的所有数据以完全接管任何车队的能力(这将使我们能够跟踪和关闭许多不同大城市的警察、救护车和执法车辆的执行器,并向这些车辆发送命令,例如“navigateGohere")所有Spireon产品的完全管理权限,包括以下...总共...GoldStar-https://www.spireon.com/products/goldstar/LoJack-https://www.spireon.com/products/goldstar/lojackgo/FleetLocate-https://www.spireon.com/products/fleetlocate-for-fleet-managers/NSpire-https://www.spireon.com/spireon-nspire-platform/拖车和资产-https://www.spireon.com/solutions/trailer-asset-managers/1550万台设备(主要是车辆)120万个用户帐户(最终用户帐户、车队经理等)多个漏洞,包括:福特披露客户PII和访问令牌,用于在车辆上跟踪和执行命令公开内部电话的配置凭据与信息处理相关的服务能够验证客户帐户并访问所有PII并在车辆上执行操作ProductionVehicleTelematicsAPI通过不正确的URL解析接管客户帐户,允许攻击者完全访问受害者帐户,包括VehiclePortalReviver跟踪物理GPS位置和管理许可证适用于所有Reviver客户的盘子(例如将车牌底部的标语更改为任何文本)以将任何车辆的状态更新为“STOLEN”,更新车牌并通知当局访问所有用户记录,包括人们拥有的车辆、他们的实际地址、电话号码和电子邮件地址以访问任何公司的车队管理功能,定位和管理对车队中所有车辆的完全超级管理员访问权限,以管理所有用户帐户和所有Reviver连接车辆的车辆。攻击者可以执行以下操作:保时捷能够通过影响车辆远程信息处理服务的漏洞发送和检索车辆位置、发送车辆命令以及检索客户信息ToyotaToyotaFinance的IDOR,泄露任何ToyotaFinance的姓名、电话号码、电子邮件地址客户和贷款状态Jaguar、LandRover用户帐户IDOR泄露的密码哈希值、姓名、电话号码、物理地址和车辆信息SiriusXM泄露的AWS密钥具有完整的组织读/写S3访问权限,能够检索所有文件,包括(看似是的)Sirius的用户数据库、源代码和配置文件这些漏洞的范围从允许访问内部公司系统和用户信息的漏洞到允许攻击者远程发送命令以实现代码执行的漏洞。这项研究建立在去年年底的早期发现之上,当时YugaLabs研究员SamCurry和其他人详细介绍了SiriusXM提供的联网汽车服务中的安全漏洞,这些漏洞可能会使汽车面临远程攻击的风险。最严重的问题与Spireon的远程信息处理解决方案有关,该解决方案可能已被利用以获得完全的管理访问权限,使对手能够向大约1550万辆汽车发出任意命令并更新设备固件。“这将使我们能够跟踪和停用许多不同大城市的警察、救护车和执法车辆的启动器,并向这些车辆发出命令,”研究人员说。在梅赛德斯-奔驰中发现的漏洞可以通过错误配置的单点登录(SSO)身份验证方案授予对内部应用程序的访问权限,而其他漏洞则可能允许用户帐户接管并泄露敏感信息。其他缺陷使得访问或修改客户记录、内部经销商门户、实时跟踪车辆GPS位置、管理所有Reviver客户的车牌数据,甚至将车辆状态更新为“被盗”成为可能。尽管所有安全漏洞都已由各自的制造商在负责任地披露后得到修复,但调查结果强调需要采用纵深防御策略来遏制威胁和降低风险。研究人员指出:“如果攻击者能够在车辆远程信息处理系统使用的API端点中发现漏洞,他们就可以完全远程按喇叭、闪光灯、远程跟踪、锁定/解锁以及启动/停止车辆。”
