上周,奔驰搭载的“智能汽车”组件源代码在网上泄露。研究人员发现了梅赛德斯-奔驰品牌所有者戴姆勒股份公司的Git门户网站。他指出,他能够在戴姆勒的代码托管门户上注册一个帐户,然后下载包含车载逻辑单元(OLU)源代码的580多个Git存储库。OLU简介根据戴姆勒的网站,OLU是一个位于车辆硬件和软件之间并“将车辆连接到云端”的组件。该网站指出,OLU“简化了实时车辆数据的技术访问和管理”,并使第三方开发人员能够创建从梅赛德斯-奔驰车辆检索数据的应用程序。这些应用程序通常用于跟踪行驶中的汽车、跟踪汽车内部或在发生盗窃时冻结汽车等功能。不安全的GitLab安装程序泄露了OLU源代码研究人员说,他使用像Googledorks(一种专门的Google搜索查询)这样简单的工具来查找戴姆勒的GitLab服务器。GitLab是一个基于Web的软件包,用于企业集中Git存储库工作。Git是一种旨在跟踪源代码更改的软件,使多人工程团队能够编写代码,然后将其同步到中央服务器——在本例中为戴姆勒基于GitLab的Web门户。研究人员表示,戴姆勒未能正确实施账户确认流程,导致他使用不存在的戴姆勒公司电子邮件地址在公司官方GitLab服务器上注册账户。研究人员表示,他从公司的服务器上下载了580个Git存储库,并在周末将它们公开,并将它们上传到多个位置,例如文件托管服务MEGA、InternetArchive和他自己的GitLab服务器。研究人员查看了一些泄露的Git存储库,发现他们查看的文件中没有一个包含任何开源许可证,这表明这是不打算公开的专有代码信息。泄露的内容不仅包括奔驰OLU组件的源代码,还包括RaspberryPi镜像、服务器镜像、用于管理远程OLU的戴姆勒内部组件、内部文档、代码示例等。虽然源代码泄露起初似乎无害,但威胁情报公司UndertheBreach审查了数据并认为他们找到了戴姆勒内部系统的密码和API令牌。如果落入坏人之手,这些密码和访问令牌可用于攻击戴姆勒的云和内部网络。戴姆勒收到通知并关闭了研究人员用来下载数据的GitLab服务器。该公司发言人没有发表官方评论。无论是对于开发者还是拥有源代码的公司来说,源代码都是他们极其宝贵的财力资源。一个小小的失误,将是难以想象的损失。GDCA数字安全时报建议个人开发者和源代码开发公司应为源代码做好基本的安全保护措施。代码签名证书对应用程序和软件开发人员在所有平台上使用的应用程序和软件进行数字签名,并在Web上分发它们。代码签名可以提供与客户购买压缩软件相同的安全性,包括发布者的名称,以及免受恶意软件入侵和其他危害的保护。代码签名证书使用特殊的数字签名将发布者的身份绑定到软件。伴随未签名代码的安全警告被包含软件发布者信息的通知所取代,从而防止用户放弃安装并提高下载率。代码签名增加了安装过程的可信度。
