http://www.zdnet.com/article/hackers-can-tamper-with-car-registration-through-BMW-connected-car-portal/
ConnectedDriveportal和宝马的域非常敏感,黑客技术可以根据未恢复的漏洞进行攻击。
科学研究人员近日宣布,宝马BMW的网站域和ConnectedDrive的门户网站不存在恢复漏洞,黑客技术可以根据0day漏洞进行攻击。
据漏洞实验室的科研人员介绍,这两个重要的bug与宝马在线客服网站中ConnectedDrive的应用有关。ConnectedDrive集成了车企提供的新型联网车辆,并将它们连接起来。
第一个漏洞是在ConnectedDrive的门户中发现的,这是一个VIN对话漏洞。VIN码,即车辆识别号,用于识别您自己的车辆并将其连接到服务。该漏洞是在使用VIN的对话管理方案中发现的,远程 *** 作黑客攻击可以使用一个及时的对话来避开验证 *** 作过程。
该会话认证漏洞可被管理员权限较低的客户账户利用,这将导致VIN号和配置设置被他人 *** 纵——例如,根据ConnectedDrive门户网站,已申请注册且有效的VIN号受到损害。
科研人员发现的第二个漏洞是跨URL脚本漏洞,是在宝马的URL域app客户端的动态令牌令牌重置系统中发现的。科学研究人员称这个漏洞为“经典”的跨站脚本漏洞,因为这个安全因子漏洞不一定是利用客户账户管理权限设计开发的;相反,只有“弱客户互动”必须引入该模块。
如果利用该漏洞,黑客可以将恶意软件导入宝马域的模块中,很可能造成对话劫持、中间人攻击,或者将客户导入有意域名。
漏洞实验室于2020年2月首次公布了法国汽车公司的安全系数漏洞。宝马在4月份的报告中做出了回应。但没有证据表明此类困难早就被恢复,导致漏洞在7月7日再次被释放。
ZDNet已经联系了宝马,如果我们听到任何信息,就会有升级。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)