宝马ConnectedDrive门户网站存在的两大漏洞可以让攻击者原创操纵与宝马信息娱乐系统有关的车辆设置。ConnectedDrive,德国BMW公司于2006年联手Google公司开发的“联网驾驶”服务,也是宝马车载信息娱乐系统的名称。该系统可以在车内使用,或可以通过一系列连接的移动应用程序让司机通过移动设备管理车辆设置。除了移动应用程序,该服务还有网页版。Vulnerability Lab的安全研究人员Benjamin Kunz Mejri昨日公布ConnectedDrive门户存在的两个零日漏洞,宝马过去5个月未对这两大漏洞进行修复。
漏洞#1:VIN会话劫持
会话漏洞允许用户访问另一用户的VIN—车辆识别代码。
VIN是每个用户帐号的车辆ID。VIN码备份车辆ConnectedDrive设置到用户的帐号。在门户网站更改这些设备将更改车载设置以及附带应用程序。
Mejri表示,他可以绕过VIN会话验证并使用另一VIN访问并修改另一用户的车辆设置。
ConnectedDrive门户的设置包括锁定/解锁车辆,管理歌曲播放列表、访问电子邮件账号、管理路由、获取实时交通信息等。漏洞#2: ConnectedDrive门户的XSS
第二个漏洞就是门户密码重置页面存在XSS(跨站脚本)漏洞。
这个XSS漏洞可能带来网络攻击,比如浏览器cookie获取、后续跨站请求伪造(Cross-site request forgery,缩写CSRF)、钓鱼攻击等。Mejri声称,他2016年2月向BMW报告了两大漏洞。由于宝马没有及时回应Mejri的漏洞报告,于是Mejri将漏洞公开。 差不多一年前,安全研究员Samy Kamkar揭露,OwnStar汽车黑客工具包攻击过宝马远程服务。