b信息公开目录
b信息公开相关规定
b信息公开指南
b依申请公开
b信息公开年度报告
b联系方式

监管动态 图片新闻
行业要闻 历史信息
本局概况 政策法规
经营许可 互联互通
电信资费 码号资源
统计信息 运营企业
服务监督 互联网管理

 



黑客可通过宝马门户网站漏洞篡改BMW车辆的设置

   E安全7月8日讯 宝马ConnectedDrive门户网站存在的两大漏洞可以让攻击者原创操纵与宝马信息娱乐系统有关的车辆设置。
   ConnectedDrive,德国BMW公司于2006年联手Google公司开发的“联网驾驶”服务,也是宝马车载信息娱乐系统的名称。该系统可以在车内使用,或可以通过一系列连接的移动应用程序让司机通过移动设备管理车辆设置。除了移动应用程序,该服务还有网页版。
   Vulnerability Lab的安全研究人员Benjamin Kunz Mejri昨日公布ConnectedDrive门户存在的两个零日漏洞,宝马过去5个月未对这两大漏洞进行修复。
   漏洞#1:VIN会话劫持
   会话漏洞允许用户访问另一用户的VIN—车辆识别代码。
   VIN是每个用户帐号的车辆ID。VIN码备份车辆ConnectedDrive设置到用户的帐号。在门户网站更改这些设备将更改车载设置以及附带应用程序。
   Mejri表示,他可以绕过VIN会话验证并使用另一VIN访问并修改另一用户的车辆设置。
   ConnectedDrive门户的设置包括锁定/解锁车辆,管理歌曲播放列表、访问电子邮件账号、管理路由、获取实时交通信息等。
   漏洞#2: ConnectedDrive门户的XSS
   第二个漏洞就是门户密码重置页面存在XSS(跨站脚本)漏洞。
这个XSS漏洞可能带来网络攻击,比如浏览器cookie获取、后续跨站请求伪造(Cross-site request forgery,缩写CSRF)、钓鱼攻击等。
   Mejri声称,他2016年2月向BMW报告了两大漏洞。由于宝马没有及时回应Mejri的漏洞报告,于是Mejri将漏洞公开。
   差不多一年前,安全研究员Samy Kamkar揭露,OwnStar汽车黑客工具包攻击过宝马远程服务。

 

粤ICP备05000001


Copyright©2001-2017 GDCA All Rights Reserved
广东省通信管理局版权所有 2001-2017