聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
移动应用中的多个漏洞可导致2012年后生产的现代和捷尼赛思汽车遭远程攻击,导致车辆被解锁甚至被开走。
Yuga 实验室的研究员发现了这些漏洞并在 SiriusXM “智能车辆”平台中发现了类似的攻击面。该平台还用于其它厂商(丰田、本田、FCA、日产、讴歌和英菲尼迪)生产的汽车,这些漏洞可导致攻击者“远程解锁、启动、定位、刷新并鸣笛”汽车。
目前,研究人员虽然并未发布技术详情,但在社交媒体上分享了一些信息。
现代汽车的问题
现代和捷尼赛思汽车使用的移动应用是 MyHyundai 和 MyGenesis,可使认证用户启动、停止、锁定和解锁汽车。拦截这两款应用生成的流量后,研究人员进行了分析并提取了API调用供进一步调查。他们发现,车主验证基于用户邮件地址,该地址包含于POST请求的JSON主体中。
分析发现,MyHyundai 并未要求用户在注册时确认邮件。研究人员通过目标的邮件地址(末尾含有额外的控制字符)创建了新账户。然后他们向现代汽车的端点发送了JSON 令牌中包含欺骗地址、JSON主体中包含受害者地址的HTTP请求,绕过了验证请求。为了验证他们能够使用汽车的访问权限,他们尝试解锁现代汽车进行研究。数秒后,汽车被解锁。
该多步骤攻击最终拷贝到自定义Python 脚本中,仅需目标的邮件地址则可实施攻击。
SiriusXM 问题
SiriusXM是一家车载资讯系统,超过15家汽车厂商在使用。该系统厂商声称在同一平台上为1200多万台联网汽车运行着50多种服务。
研究人员指出,讴歌、宝马、本田、现代、英菲尼迪、捷豹、路虎、雷克萨斯、日产、斯巴鲁和丰田都使用 SiriusXM 技术实现远程车辆管理特性。
研究人员检查了日产app的网络流量后发现,只需知道目标的车辆识别号(VIN) 即可将伪造的HTTP请求发送到该端点。越权请求的响应包括目标名称、电话号码、地址和车辆详情。
鉴于可在已停车的车辆轻松定位VIN,通常可见于仪表盘上,因此攻击者可轻松访问。这些识别号码也可在专门的汽车销售网站上看到,供买家检查车辆历史。除了泄露信息外,这些请求还可在车辆上执行命令。
研究人员已将问题告知现代汽车和 SiriusXM。这两家厂商已修复这些漏洞。
研究人员指出,对于2015年后生产的汽车品牌(使用SiriusXM),只要知道VIN号码,就可远程追踪、锁定/解锁、启动/停止、鸣笛或开闪灯。对于早于2015年生产的汽车而言,多数仍然可插入 SiriusXM 中,可通过挡风玻璃扫描VIN号码并接管SiRIUSXM 账号,泄露其姓名、电话号码、地址和缴费信息等。
现代汽车回应称,收到漏洞报告后,已经和第三方咨询人员调查所报告的漏洞。该公司提到目前并未有客户车辆或账户遭访问,另外要利用该漏洞,攻击者必须知道与特定现代账户和车辆相关联的邮件地址以及研究人员提供的特定web脚本。该公司还提到已采取应对措施,并澄清说明并不受SXM授权漏洞影响。
SiriusXM 公司的发言人表示,漏洞并不影响任何客户,并表示将继续通过漏洞奖励计划与独立研究员和/或其它第三方实体合作。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
丰田汽车顶级供应商 Denso 疑遭勒索攻击,被威胁泄露商业机密
原文链接
https://www.bleepingcomputer.com/news/security/hyundai-app-bugs-allowed-hackers-to-remotely-unlock-start-cars/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1071
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
