数百万辆汽车面临风险：16 个主要汽车品牌发现 API 漏洞

影响来自 16 家不同制造商的数百万辆汽车的多个错误可能被滥用来解锁、启动和跟踪汽车，并影响车主的隐私。

在为Acura，宝马，法拉利，福特，Genesis，本田，现代，英菲尼迪，捷豹，起亚，路虎，梅赛德斯 - 奔驰，日产，保时捷，劳斯莱斯，丰田以及Reviver，SiriusXM和Spireon的软件提供动力的汽车API中发现了安全漏洞。

这些漏洞的范围很广，从可以访问公司内部系统和用户信息的漏洞到允许攻击者远程发送命令以实现代码执行的漏洞。这项研究建立在去年年底的早期发现之上，当时Yuga Labs研究员Sam Curry等人详细介绍了SiriusXM提供的联网车辆服务中的安全漏洞，这可能会使汽车面临远程攻击的风险。

最严重的问题涉及Spireon的远程信息处理解决方案，可以利用它获得完全的管理访问权限，使对手能够向大约1550万辆汽车发出任意命令并更新设备固件。“这将使我们能够跟踪和关闭警察，救护车和执法车辆的启动器，并为这些车辆发送命令，”研究人员说。

梅赛德斯 - 奔驰中发现的漏洞可以通过配置不当的单点登录（SSO）身份验证方案授予对内部应用程序的访问权限，而其他漏洞可能允许用户帐户接管和披露敏感信息。

其他缺陷使得访问或修改客户记录，内部经销商门户，实时跟踪车辆GPS位置，管理所有齐磊客户的车牌数据，甚至将车辆状态更新为“被盗”成为可能。

虽然所有安全漏洞都已由各自的制造商在负责任的披露后修复，但调查结果强调了纵深防御策略的必要性，以遏制威胁并降低风险。“如果攻击者能够在车辆远程信息处理系统使用的API端点中找到漏洞，他们就可以完全远程地按喇叭，闪烁灯光，远程跟踪，锁定/解锁和启动/停止车辆，”研究人员指出。