IT之家 1 月 8 日信息,安全专家近日发现了危害百余万台汽车的安全性漏洞,全世界绝大多数关键汽车知名品牌均受影响。网络黑客可以借助汽车远程控制数据分析系统、汽车 API 和整合性基础设施建设里的漏洞进行相应的实际操作,甚至可以远程控制彻底接手你汽车。
IT之家了解到了,新款奔驰、宝马五系、劳斯来斯、兰博基尼、福特汽车、玛莎拉蒂、丰田汽车、捷豹和路虎等汽车知名品牌,也有公司车辆管理企业 Spireon 和数字车牌企业 Reviver 均受影响。
Yuga 实验室 Sam Curry 在研究破译汽车环节中,在当代和 Genesis 得多款车中发现了漏洞,并发现 Sirius XM 的 Connected Vehicle Services 漏洞危害广州本田、日产、英菲尼迪fx和 Acuras。
Curry 表明:“受影响的企业都是在汇报后一两天内处理了各种问题。我们跟这所有的一切企业合作,对它进行认证,以确保不容易绕开这种漏洞”。
根据 Curry 的漏洞研究,安全专家又相继发现了好几个蔓延到范围广泛的安全性漏洞。从公共安全管理的角度看,最严重漏洞要在 Spireon 发现的,该公司拥有好多个 GPS 车辆跟踪和公司车辆管理知名品牌,包含 OnStar、GoldStar、LoJack、FleetLocate 和 NSpire,遮盖 1500 万台连接网络车子。
库里和精英团队发现了 SQL 引入和受权绕开等方面的好几个漏洞,能够在大多数 Spireon 上实行远程控制编码,并彻底接手一切运输队车子。
研究工作人员写到:“这将使我们可以追踪和关闭一些不一样大城市警员、急救车和稽查汽车的驱动器,同时向这种车子传出命令”。
研究工作人员写到:“这种漏洞还要她们赢得了对 Spireon 企业的彻底管理权限和一个全企业的管理控制面板,攻击者能从这一板上为所有 1500 万台汽车推送随意指令,进而远程解锁汽车车门、按喇叭、运行模块和禁止使用驱动器”。
除此之外研究工作人员还发现了对于兰博基尼汽车的过多批准密钥管理漏洞,容许她们浏览好多个内部结构应用软件的 JavaScript 编码。该编码包括 API 密匙和凭据,很有可能容许攻击者浏览顾客纪录并接手(删除)顾客帐户。
研究人员表示攻击者能够 POST 到“/core/ api / v1 / Users/:id / Roles”节点,编写他的用户角色,设定自己拥有非常操作权限或成为兰博基尼使用者。
还木有评论哦,快来抢沙发吧~