雅加达 - 一组研究人员发现了一些世界上最大的汽车制造商的漏洞,黑客可以利用这些漏洞,不仅可以窃取车主的个人数据,还可以远程移动车辆。
七人研究人员包括漏洞赏金猎人和Yuga Labs员工安全工程师Sam Curry。他们发现多达16家主要汽车制造商和三家汽车技术供应商的产品存在安全漏洞。
这个漏洞非常危险,它可能导致帐户接管,远程代码执行(RCE),更不用说执行导致车辆物理控制的命令了。
一些漏洞还可用于信息盗窃,方法是将黑客直接引导到存储在汽车应用程序中的汽车用户的个人身份信息(PII)。
一个重要的问题是,一些汽车制造商依赖第三方API软件,而不是构建自己的技术。根据库里的说法,该漏洞影响了福特,丰田,梅赛德斯,宝马,保时捷,法拉利等。
随着库里和他的同事们深入挖掘,他们惊喜地发现,车辆识别号(VIN)可以带来多少信息和影响。
“VIN号码很常见,你可以步行到车上去拿一个VIN号码。但是对于很多这些API,如果你有一个VIN号,它只会返回这个人的全名或车辆的电池电量,你可以将其添加到你的帐户中,“库里说。
研究人员不仅可以使用VIN号完全控制车主的车辆帐户,其中包括大量个人信息,还可以远程锁定和解锁,停止发动机,定位其他车辆,如起亚,本田,英菲尼迪,日产和讴歌。
此外,研究人员还可以获得管理访问权限,以管理连接到数字车牌公司Reviver的任何车辆的所有用户和车辆帐户。
研究人员可以利用该漏洞通过GPS跟踪车辆的物理位置,并将其标记为车牌被盗。齐磊在一份声明中表示,他们没有发现任何证据表明该漏洞被利用,并采取了进一步行动以防止将来发生这种情况。
“这些公司中的每一个都有一个信用贷款门户。所以,有很多信息,比如你的姓名,你的地址,你的账单信息,“库里说。
库里说,现在他和团队报告的所有缺点都被车公司修补了。
现已修复的漏洞位于GPS提供商Spireon,车辆通信系统供应商SiriusXM和汽车平台即服务提供商Reviver以及下游客户,包括劳斯莱斯,宝马,法拉利,梅赛德斯 - 奔驰,捷豹,保时捷,路虎,丰田,本田,日产,现代,福特,起亚,讴歌,创世纪和英菲尼迪。
“我们会发现一家汽车公司的漏洞,然后我们会报告它们,然后我们会切换到另一家汽车公司,这将是完全相同的事情,”库里在1月9日星期一引用CyberScoop的博客文章中说。
调查结果强调了消费者和汽车制造商的安全风险,因为汽车制造商继续增加车辆中的软件数量,并为车主提供与汽车连接的应用程序。根据库里的调查结果,它表明汽车制造商必须采取更多措施来关注网络安全。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
