奔驰、宝马等豪车品牌均中招,安全专家公布影响数百万车辆的多个漏洞
作者:张璠 栏目:新闻 来源:IT之家 发布时间:2023-01-08 14:43
安全专家最近发现了影响数百万辆汽车的安全漏洞,全球几乎所有主要汽车品牌都受到了影响黑客可以利用汽车远程信息处理系统,汽车API和配套基础设施的漏洞进行各种操作,甚至可以远程接管你的汽车
本站了解到,奔驰,宝马,劳斯莱斯,法拉利,福特,保时捷,丰田,捷豹和路虎等汽车品牌,以及车队管理公司Spireon和数字车牌公司Reviver都受到了影响。
宇迦实验室的山姆·库里在对破解汽车进行研究的过程中发现了许多现代和创世纪车型的漏洞,并发现Sirius XM的联网车辆服务的漏洞影响了本田,日产,菲尼迪和讴歌。
库里说:受影响的公司都在报告后的一两天内修复了这些问题我们与所有这些公司合作来验证它们,并确保这些漏洞不会被绕过
基于库里的漏洞研究,安全专家发现了很多安全漏洞,范围很广从公共安全的角度来看,最严重的漏洞是在Spireon发现的,该公司拥有多个GPS车辆跟踪和车队管理品牌,包括OnStar,GoldStar,LoJack,FleetLocate和NSpire,覆盖1500万辆联网车辆
而库里的团队在SQL注入和授权旁路中发现了多个漏洞,可以在所有Spireon上执行远程代码,完全接管任何车队车辆。
这将使我们能够跟踪和关闭一些不同大城市的警察,救护车和执法车辆的启动器,并向这些车辆发出指令,研究人员写道。
研究人员写道:这些漏洞还赋予了他们对Spireon公司和一个全公司管理面板的完全管理员权限,攻击者可以从这里向所有1500万辆汽车发送任意命令,从而远程解锁车门,按喇叭,启动发动机和禁用起动机。
此外,研究人员还发现了法拉利的一个越权访问控制漏洞,允许他们访问几个内部应用程序的JavaScript代码该代码包含API密钥和凭据,使得攻击者能够访问客户记录并接管客户帐户
。