解锁、启动、跟踪汽车到暴露客户敏感信息，近20家全球顶级汽车品牌尽皆沦陷

国外一安全团队于今年年初发布了一篇博客，声称近20家汽车制造商存在API安全漏洞，有可能允许黑客执行恶意活动——从解锁、启动、跟踪汽车到暴露客户敏感信息。该研究报告中提到近20家著名品牌都受到影响，如宝马、劳斯莱斯、梅赛德斯-奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和捷尼赛思等。此外这些漏洞还影响了车载技术品牌Spireon、Reviver以及流媒体服务SiriusXM。

这些API漏洞是由Sam Curry领导的一个研究团队发现的，Sam Curry在先前的披露中展示了黑客会如何利用这些漏洞解锁和启动汽车。自报告这些安全问题以来已经过去了90天的漏洞披露期，于是该研究团队又发布了一篇有关这些API漏洞的更详细的博客。受影响的供应商已经修复了此报告中提到的所有安全问题，因此它们现在无法再被利用。

访问内部系统

最严重的API漏洞发现在宝马和奔驰之中，SSO（单点登录）漏洞使得攻击者能够访问内部系统。对于奔驰，研究员能够访问多个私有GitHub实例、Mattermost上的内部聊天频道、服务器、Jenkins和AWS实例，连接到客户汽车的XENTRY系统等。对于宝马，研究员能够访问内部经销商门户网站，以查询任意汽车的VIN（车辆识别代码），并检索包含车主敏感信息的销售文件。此外，攻击者还能够利用SSO漏洞以任何员工或经销商的身份登录账户，并访问内部使用的应用程序。

暴露车主敏感信息

利用其他API漏洞，研究员能够访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、捷尼赛思、宝马、劳斯莱斯、法拉利、福特、保时捷和丰田汽车等汽车品牌车主的PII（个人可识别信息），这意味着会暴露较为敏感的销售信息、实际位置和客户地址。法拉利在其CMS上的SSO漏洞暴露了后端API路由，使得能够从JavaScript片段中提取凭据。攻击者可以利用这些漏洞访问、修改或删除任何法拉利客户帐户，管理他们的车辆档案，或将自己设置为汽车所有者。

跟踪车辆GPS

这些漏洞还可能允许黑客实时跟踪汽车，带来潜在的物理风险，并影响数百万汽车车主的隐私。例如保时捷就是受影响的品牌之一，其远程信息处理系统存在漏洞，使攻击者能够检索车辆位置并发送指令。

可行的保护措施

为保护自己免受这类漏洞的影响，建议汽车车主设置车载远程信息处理系统为私密模式，这可以防止未授权的人员访问位置信息和车辆操作数据。车主还应定期检查汽车和手机应用的更新，以确保应用程序具有最新的安全功能。此外，车主应避免在公共网络上使用车载通讯系统，并尽可能设置为复杂密码。

博客链接：https://samcurry.net/web-hackers-vs-the-auto-industry/

编辑：左右里