互联驾驶

黑客可通过宝马门户网站漏洞篡改BMW车辆的设置

字号+ 来源:E安全 2016-08-04 21:12 我要评论( )

       宝马ConnectedDrive门户网站存在的两大漏洞可以让攻击者原创操纵与宝马信息娱乐系统有关的车辆设置。
       ConnectedDrive,德国BMW公司于2006年联手Google公司开发的“联网驾驶”服务,也是宝马车载信息娱乐系统的名称。该系统可以在车内使用,或可以通过一系列连接的移动应用程序让司机通过移动设备管理车辆设置。除了移动应用程序,该服务还有网页版。
       Vulnerability Lab的安全研究人员Benjamin Kunz Mejri昨日公布ConnectedDrive门户存在的两个零日漏洞,宝马过去5个月未对这两大漏洞进行修复。
 
       漏洞#1:VIN会话劫持
       会话漏洞允许用户访问另一用户的VIN—车辆识别代码。
       VIN是每个用户帐号的车辆ID。VIN码备份车辆ConnectedDrive设置到用户的帐号。在门户网站更改这些设备将更改车载设置以及附带应用程序。
       Mejri表示,他可以绕过VIN会话验证并使用另一VIN访问并修改另一用户的车辆设置。
       ConnectedDrive门户的设置包括锁定/解锁车辆,管理歌曲播放列表、访问电子邮件账号、管理路由、获取实时交通信息等。
 
       漏洞#2: ConnectedDrive门户的XSS
       第二个漏洞就是门户密码重置页面存在XSS(跨站脚本)漏洞。
       这个XSS漏洞可能带来网络攻击,比如浏览器cookie获取、后续跨站请求伪造(Cross-site request forgery,缩写CSRF)、钓鱼攻击等。
       Mejri声称,他2016年2月向BMW报告了两大漏洞。由于宝马没有及时回应Mejri的漏洞报告,于是Mejri将漏洞公开。
       差不多一年前,安全研究员Samy Kamkar揭露,OwnStar汽车黑客工具包攻击过宝马远程服务。
宝马资讯丨技术解析丨导航地图丨编程隐藏丨保养维护丨驾驶技巧丨配件目录丨培训手册丨操作教程
随时掌握宝马以上资讯请关注本站微信公众号
微信扫一扫下方二维码即可关注

1、本站所有资源只提供分享服务,至于安装中及使用中出现的问题,站长不便回答,请谅解!

2、本站某些信息收集于互联网,如有侵权,请发送邮箱azs2010@sina.com,本站站长会及时删除!

相关文章
  • 让车辆驾驶更智能!宝马12月底发布互联APP

    让车辆驾驶更智能!宝马12月底发布互联APP

    2016-12-17 20:44

  • 2G 即将退网!宝马宣布停止车载 2G 网络服务

    2G 即将退网!宝马宣布停止车载 2G 网络服务

    2016-11-16 14:58

  • 宝马支持远程控制GoPro,视频可用手机同步观看

    宝马支持远程控制GoPro,视频可用手机同步观看

    2016-04-19 10:09

  • 到期不用愁!教你延长宝马免费2年互联驾驶基础服务

    到期不用愁!教你延长宝马免费2年互联驾驶基础服务

    2016-03-18 10:42

网友点评