BleepingComputer网站披露,近20家汽车制造商和服务机构存在API安全漏洞,可让黑客远程解锁、启动车辆,并跟踪汽车行踪,恶意攻击窃取车主个人信息。据悉,API漏洞主要影响宝马、劳斯莱斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田、捷恩斯等知名车型品牌。此外,该漏洞还影响了汽车技术品牌Spireon和Reviver,以及流媒体服务SiriusXM。谁发现了API安全漏洞?网络安全研究员SamCurry和他的研究团队在数十家顶级汽车制造商生产的车辆和远程信息处理服务中发现了API漏洞。在此之前,SamCurry于2022年11月披露了现代、创世纪、本田、讴歌、日产、英菲尼迪和SiriusXM的安全问题。目前,受影响的厂商已经修复了所有漏洞,目前漏洞无法被利用。在90天的漏洞披露期过后,Curry的团队发布了一篇关于更详细的API漏洞的博客文章,展示了黑客如何利用它们来解锁和启动汽车。攻击者可利用漏洞访问内部系统BMW和Mercedes-Benz中发现的最严重的API漏洞受SSO(单点登录)漏洞影响,可被攻击者利用来访问内部业务系统。例如,在对梅赛德斯-奔驰的测试中,研究人员能够访问多个私有GitHub实例、Mattermost上的内部聊天通道、服务器、Jenkins和AWS实例,成功连接到客户汽车的XENTRY系统等等。梅赛德斯-奔驰内部系统(来源:SamCurry)在与宝马的测试中,研究人员能够访问内部经销商门户,查找任何汽车的VIN,并检索包含敏感车主信息的销售文件。此外,攻击者可以利用SSO漏洞以员工或经销商的身份登录帐户,以访问保留供内部使用的应用程序。在BMW门户网站上访问车辆详细信息(来源:SamCurry)暴露车主详细信息研究人员利用其他API漏洞获取起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、创世纪等汽车品牌车主的个人身份信息如宝马、劳斯莱斯、法拉利、福特、丰田、保时捷等。对于豪华品牌汽车,披露车主信息尤其危险,因为在某些情况下,数据包括销售信息、实际位置和客户居住地。例如,法拉利在其CMS上的SSO漏洞暴露了后端API路由,使得从JavaScript片段中提取凭据成为可能。攻击者可以利用这些漏洞访问、修改或删除任何法拉利客户帐户,管理他们的车辆资料,甚至将自己设置为车主。法拉利用户数据细节泄露(来源:SamCurry)跟踪车辆GPSAPI漏洞可能允许黑客实时跟踪汽车,构成潜在的人身风险并影响数百万车主的隐私,保时捷是受影响最严重的品牌之一,其远程信息处理系统漏洞允许攻击者检索车辆位置并发送命令。GPS跟踪解决方案Spireon也容易泄露汽车位置,涉及1550万辆使用其服务的车辆,甚至允许管理员访问其远程管理面板,从而允许攻击者解锁汽车、启动引擎或禁用启动器。Spireon管理面板上的历史GPS数据(来源:SamCurry)信息等。Curry表示,这些缺陷可能允许攻击者在Reviver面板上将车辆标记为“被盗”,这将自动将事件通知警方,从而使车主/司机面临不必要的风险。远程修改Reviver车牌(来源:SamCurry)最大限度地降低安全风险车主可以通过最大限度地减少存储在车辆或汽车应用程序中的个人信息量来保护自己免受此类违规行为的侵害。将您的车载远程信息处理设置为最高隐私级别并阅读汽车制造商的隐私政策以了解其数据的使用方式也很重要。最后,SamCurry强调在购买二手车时确保完全删除前车主的帐户。如果可以,请使用强密码,并为您车辆的应用程序和服务设置双因素身份验证。
