网络第5域

研究人员发现汽车甚至应急车辆存在严重漏洞 品牌包括宝马、奔驰、本田、日产

字号+作者: 来源:cnBeta.COM 2023-01-07 11:43 评论(创建话题) 收藏成功收藏本文

安全研究人员去年秋天发现了一系列严重的漏洞,这些漏洞会让黑客从多个制造商那里窃取车辆和客户数据。在一个新的更新中,其中一位研究人员写道,这些漏洞的'...

安全研究人员去年秋天发现了一系列严重的漏洞,这些漏洞会让黑客从多个制造商那里窃取车辆和客户数据。在一个新的更新中,其中一位研究人员写道,这些漏洞的影响范围更广,甚至可以影响到执法和紧急服务车辆。KRW品论天涯网

KRW品论天涯网

根据研究人员SamCurry的最新报告,多个漏洞可能让攻击者远程跟踪和控制不同制造商的警车、救护车和消费者车辆。这次更新是在11月的类似通知之后进行的。KRW品论天涯网

这些弱点源自于控制超过1500万台设备(其中大部分是车辆)的GPS和Telematics的公司的网站--SpireonSystems。研究人员描述Spireon公司的网站已经过时,可以通过一些巧妙的方法用管理员账户登录。KRW品论天涯网

在那里,他们可以远程跟踪和控制警车、救护车和商业车辆的车队。攻击者可以解锁汽车,启动它们的引擎,禁用它们的点火开关,向整个车队发送导航命令,并控制固件更新,从而有可能发送恶意软件载荷。KRW品论天涯网

SiriusXM的远程系统漏洞可以让黑客只用每辆车的车辆识别码就能偷走Acura、Honda、Infiniti和Nissan的车辆。他们还可以访问客户的个人信息。新报告揭示了起亚、现代和Genesis车型也有类似危险。KRW品论天涯网

KRW品论天涯网

此外,配置错误的单点登录系统使研究人员能够访问宝马、奔驰和劳斯莱斯的内部企业系统。这些缺陷并没有授予直接的车辆访问权。但是,攻击者仍然可以侵入奔驰的内部通信,访问宝马经销商的信息,并劫持宝马或劳斯莱斯的员工账户,法拉利网站的安全漏洞也让研究人员进入管理权限并删除所有客户信息。KRW品论天涯网

研究人员还发现,大多数(不是全部)加州数字车牌都容易受到攻击者的攻击。去年该州将数字车牌合法化后,一家名为Reviver的公司可能处理了所有的车牌,Reviver的内部系统出现了安全故障。数字车牌持有者可以使用Reviver更新他们的车牌,并远程报告他们被盗。然而,漏洞允许攻击者赋予普通的Reviver账户以更高的权限,可以跟踪、改变和删除系统中的任何条目。KRW品论天涯网

KRW品论天涯网

Curry的最新博客文章为那些对细枝末节感兴趣的人广泛地详述了他和其他黑客在研究时所使用的方法:KRW品论天涯网

https://samcurry.net/web-hackers-vs-the-auto-industry/
KRW品论天涯网

他的团队在披露之前向受影响的公司报告了这些漏洞。至少其中一些公司确认发布了安全补丁。KRW品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]