Bleeping Computer 網(wǎng)站披露，近 20 家汽車(chē)制造商和服務(wù)機(jī)構(gòu)存在 API 安全漏洞，這些漏洞允許黑客進(jìn)行遠(yuǎn)程解鎖、啟動(dòng)車(chē)輛、跟蹤汽車(chē)行蹤，竊取車(chē)主個(gè)人信息的惡意攻擊活動(dòng)。

據(jù)悉，API 漏洞主要影響寶馬、羅爾斯、奔馳、法拉利、保時(shí)捷、捷豹、路虎、福特、起亞、本田、英菲尼迪、日產(chǎn)、謳歌、現(xiàn)代、豐田和創(chuàng)世紀(jì)等其知名汽車(chē)品牌。此外，漏洞還影響汽車(chē)技術(shù)品牌 Spireon 和 Reviver 以及流媒體服務(wù) SiriusXM。

誰(shuí)發(fā)現(xiàn)了 AP I安全漏洞？

網(wǎng)絡(luò)安全研究員 Sam Curry 和其研究團(tuán)隊(duì)，在數(shù)十家頂級(jí)汽車(chē)制造商生產(chǎn)的車(chē)輛和車(chē)聯(lián)網(wǎng)服務(wù)中，發(fā)現(xiàn)了API 漏洞問(wèn)題。 此前，Sam Curry于 2022 年 11 月披露了現(xiàn)代、Genesis、本田、謳歌、日產(chǎn)、英菲尼迪和 SiriusXM 的安全問(wèn)題。

目前，受影響的供應(yīng)商已經(jīng)修復(fù)所有漏洞問(wèn)題，現(xiàn)在無(wú)法利用這些漏洞。在經(jīng)過(guò)了 90 天的漏洞披露期后，Curry 團(tuán)隊(duì)發(fā)表了一篇關(guān)于更詳細(xì)的 API 漏洞博客文章，展示了黑客如何利用這些漏洞來(lái)解鎖和啟動(dòng)汽車(chē)。

攻擊者可以利用漏洞，訪問(wèn)內(nèi)部系統(tǒng)

寶馬和奔馳中發(fā)現(xiàn)了最嚴(yán)重的 API 漏洞，這些漏洞受到 SSO（單點(diǎn)登錄）漏洞的影響，攻擊者可以利用訪問(wèn)內(nèi)部業(yè)務(wù)系統(tǒng)。 例如在對(duì)梅賽德斯-奔馳的測(cè)試中，研究人員可以訪問(wèn)多個(gè)私有 GitHub 實(shí)例、Mattermost 上的內(nèi)部聊天頻道、服務(wù)器、Jenkins 和 AWS 實(shí)例，并成功連接到客戶汽車(chē)的 XENTRY 系統(tǒng) 等。

梅賽德斯-奔馳內(nèi)部系統(tǒng)（資料來(lái)源：Sam Curry）

在對(duì)寶馬的測(cè)試中，研究人員可以訪問(wèn)內(nèi)部經(jīng)銷(xiāo)商門(mén)戶網(wǎng)站，查詢?nèi)魏纹?chē)的 VIN，并檢索包含敏感車(chē)主信息的銷(xiāo)售文件。此外，攻擊者還可以利用 SSO 漏洞，以員工或經(jīng)銷(xiāo)商的身份登錄賬戶，訪問(wèn)保留給內(nèi)部使用的應(yīng)用程序。

訪問(wèn)寶馬門(mén)戶網(wǎng)站上的車(chē)輛詳細(xì)信息（資料來(lái)源：Sam Curry）

暴露車(chē)主詳細(xì)信息

研究人員利用其它 API 漏洞，可以訪問(wèn)起亞、本田、英菲尼迪、日產(chǎn)、謳歌、梅賽德斯-奔馳、現(xiàn)代、創(chuàng)世紀(jì)、寶馬、勞斯萊斯、法拉利、福特、豐田、保時(shí)捷等汽車(chē)品牌車(chē)主的個(gè)人身份信息。

對(duì)于豪華品牌汽車(chē)來(lái)講，披露車(chē)主信息特別危險(xiǎn)，因?yàn)樵谀承┣闆r下，數(shù)據(jù)中包括銷(xiāo)售信息、物理位置和客戶居住地址。例如法拉利在其 CMS 上的 SSO 漏洞，暴露了后端 API 路線，使其有可能從 JavaScript 片段中提取憑據(jù)。攻擊者可以利用這些漏洞訪問(wèn)、修改或刪除任何法拉利客戶賬戶，管理他們的車(chē)輛資料，甚至可以將自己設(shè)定為車(chē)主。

披露法拉利用戶數(shù)據(jù)細(xì)節(jié)（資料來(lái)源：Sam Curry）

跟蹤車(chē)輛 GPS

API 漏洞可能允許黑客實(shí)時(shí)跟蹤汽車(chē)，帶來(lái)潛在的物理風(fēng)險(xiǎn)，并影響到數(shù)百萬(wàn)車(chē)主的隱私，其中保時(shí)捷是最受影響的品牌之一，其遠(yuǎn)程信息處理系統(tǒng)漏洞使攻擊者能夠檢索車(chē)輛位置并發(fā)送指令。

GPS 跟蹤解決方案 Spireon 也易受汽車(chē)位置泄露的影響，涉及到 1550 萬(wàn)輛使用其服務(wù)的車(chē)輛，甚至允許管理員訪問(wèn)其遠(yuǎn)程管理面板，使攻擊者能夠解鎖汽車(chē)、啟動(dòng)引擎或禁用啟動(dòng)器。

Spireon 管理面板上的歷史 GPS 數(shù)據(jù)（資料來(lái)源：Sam Curry）

值得一提的是，數(shù)字車(chē)牌制造商 Reviver 也容易受到未經(jīng)驗(yàn)證的遠(yuǎn)程訪問(wèn)其管理面板的影響，該面板可能允許任何人訪問(wèn) GPS 數(shù)據(jù)和用戶記錄、更改車(chē)牌信息等。

Curry 表示這些漏洞或允許攻擊者在 Reviver 面板上將車(chē)輛標(biāo)記為 “被盜”，這會(huì)自動(dòng)將事件通知警方，從而使車(chē)主/駕駛員面臨不必要的風(fēng)險(xiǎn)。

遠(yuǎn)程修改 Reviver 車(chē)牌（資料來(lái)源：Sam Curry）

最大限度地減少安全風(fēng)險(xiǎn)

車(chē)主可以通過(guò)最大限度減少存儲(chǔ)在車(chē)輛或汽車(chē) APP 中的個(gè)人信息,來(lái)保護(hù)自己免受此類漏洞的影響。此外，將車(chē)載遠(yuǎn)程信息處理設(shè)置為最高私密等級(jí)，并閱讀汽車(chē)廠家的隱私政策,以了解其數(shù)據(jù)的使用方式也至關(guān)重要。

最后，Sam Curry 著重強(qiáng)調(diào)，當(dāng)購(gòu)買(mǎi)二手車(chē)時(shí)，請(qǐng)確保前車(chē)主的帳戶已被徹底刪除。如果有條件的話，盡量使用強(qiáng)密碼，并為車(chē)輛的應(yīng)用程序和服務(wù)設(shè)置雙因素認(rèn)證。