上周，梅德賽斯-奔馳中安裝的“智能汽車”組件源代碼被泄露在網(wǎng)上。

研究人員發(fā)現(xiàn)奔馳品牌所屬主體戴姆勒股份公司 (Daimler AG) 的一個(gè) Git web 門戶。他指出，自己能夠在戴姆勒的代碼托管門戶上注冊一個(gè)賬戶，之后下載包含車載邏輯單元 (OLUs) 源代碼的580多個(gè) Git 倉庫。

[[327278]]

OLU 簡介

從戴姆勒網(wǎng)站上獲悉，OLU 是一個(gè)組件，位于車輛的硬件和軟件之間，“連接車輛和云端”。

網(wǎng)站指出，OLU“簡化了對實(shí)時(shí)車輛數(shù)據(jù)的技術(shù)訪問和管理”，并可使第三方開發(fā)人員創(chuàng)建能夠從奔馳車檢索數(shù)據(jù)的 app。這些 app 通常用于實(shí)現(xiàn)多種功能，如追蹤正在行駛的汽車、追蹤汽車的內(nèi)部狀況或在出現(xiàn)偷盜情況時(shí)凍結(jié)汽車。

不安全的 GitLab 安裝程序泄露 OLU 源代碼

研究人員表示，他使用了簡單如 Google dorks(專門的谷歌搜索查詢)的方法找到了戴姆勒的 GitLab 服務(wù)器。GitLab 是一款基于 web 的軟件包，供企業(yè)用于集中處理 Git 倉庫工作。Git 是一款專門用來追蹤源代碼變化的軟件，可使多人工程團(tuán)隊(duì)編寫代碼，之后同步給一臺(tái)中央服務(wù)器——在本案例中同步給戴姆勒基于 GitLab 的 web 門戶。

研究人員表示，戴姆勒公司未能正確實(shí)現(xiàn)賬戶確認(rèn)流程，從而導(dǎo)致他可以使用一個(gè)不存在的戴姆勒企業(yè)郵箱在該公司的官方 GitLab 服務(wù)器上注冊賬戶。該研究員表示從該公司的服務(wù)器中下載了580個(gè) Git 倉庫，并在上周末將其公開，在多個(gè)位置上傳，如文件托管服務(wù) MEGA、Internet Archive 和他自己的 GitLab 服務(wù)器。

研究人員查看了其中一些遭泄露的 Git 倉庫，結(jié)果發(fā)現(xiàn)所查看的文件中均未包含任何開源許可，表明這是并不打算公開的專有代碼信息。

被泄露項(xiàng)目不僅包括奔馳 OLU 組件的源代碼，而且還包括 Raspberry Pi 鏡像、服務(wù)器鏡像、用于管理遠(yuǎn)程 OLUs 的內(nèi)部戴姆勒組件、內(nèi)部文檔、代碼樣本等等的源代碼。

雖然剛開始這些源代碼泄露看似無害，但威脅情報(bào)公司 Under the Breach 查看該數(shù)據(jù)后認(rèn)為，他們發(fā)現(xiàn)了戴姆勒內(nèi)部系統(tǒng)的密碼和 API 令牌。這些密碼和訪問令牌如落入不法之徒手中可被用于攻擊戴姆勒云和內(nèi)部網(wǎng)絡(luò)。

戴姆勒公司收到通知后撤掉研究人員用于下載該數(shù)據(jù)的 GitLab 服務(wù)器。該公司的一名發(fā)言人并未給出正式評論。

無論是對于開發(fā)人員亦或是擁有源代碼的企業(yè)源代碼都是他們極其珍貴的財(cái)務(wù)，稍有閃失將是不可想象的損失，GDCA數(shù)安時(shí)代建議個(gè)人開發(fā)者及源代碼開發(fā)企業(yè)都應(yīng)為源代碼做好基礎(chǔ)的安全保護(hù)措施。

代碼簽名證書對開發(fā)商在所有平臺(tái)上使用并對其發(fā)布在網(wǎng)絡(luò)上的應(yīng)用軟件和軟件進(jìn)行數(shù)字簽名。代碼簽名可以提供和客戶購買的壓縮軟件同樣的安全性，包括發(fā)布者的名稱，以及避免惡意軟件入侵和其他危害。代碼簽名證書使用特殊的數(shù)字簽名對發(fā)布者的身份和軟件進(jìn)行綁定。伴隨著未簽名代碼一同出現(xiàn)的安全警告被含有軟件發(fā)布者信息的通知所代替，從而避免用戶放棄安裝并增加下載率，代碼簽名會(huì)為安裝過程增加信用度。