研究人员发现汽车甚至应急车辆存在严重漏洞品牌包括宝马、奔驰、本田、日产

2023-01-07 11:26:30 来源：cnBeta

(资料图片仅供参考)

安全研究人员去年秋天发现了一系列严重的漏洞，这些漏洞会让黑客从多个制造商那里窃取车辆和客户数据。在一个新的更新中，其中一位研究人员写道，这些漏洞的影响范围更广，甚至可以影响到执法和紧急服务车辆。

根据研究人员Sam Curry的最新报告，多个漏洞可能让攻击者远程跟踪和控制不同制造商的警车、救护车和消费者车辆。这次更新是在11月的类似通知之后进行的。

这些弱点源自于控制超过1500万台设备（其中大部分是车辆）的GPS和Telematics的公司的网站--Spireon Systems。研究人员描述Spireon公司的网站已经过时，可以通过一些巧妙的方法用管理员账户登录。

在那里，他们可以远程跟踪和控制警车、救护车和商业车辆的车队。攻击者可以解锁汽车，启动它们的引擎，禁用它们的点火开关，向整个车队发送导航命令，并控制固件更新，从而有可能发送恶意软件载荷。

SiriusXM的远程系统漏洞可以让黑客只用每辆车的车辆识别码就能偷走Acura、Honda、Infiniti和Nissan的车辆。他们还可以访问客户的个人信息。新报告揭示了起亚、现代和Genesis车型也有类似危险。

此外，配置错误的单点登录系统使研究人员能够访问宝马、奔驰和劳斯莱斯的内部企业系统。这些缺陷并没有授予直接的车辆访问权。但是，攻击者仍然可以侵入奔驰的内部通信，访问宝马经销商的信息，并劫持宝马或劳斯莱斯的员工账户，法拉利网站的安全漏洞也让研究人员进入管理权限并删除所有客户信息。

研究人员还发现，大多数（不是全部）加州数字车牌都容易受到攻击者的攻击。去年该州将数字车牌合法化后，一家名为Reviver的公司可能处理了所有的车牌，Reviver的内部系统出现了安全故障。数字车牌持有者可以使用Reviver更新他们的车牌，并远程报告他们被盗。然而，漏洞允许攻击者赋予普通的Reviver账户以更高的权限，可以跟踪、改变和删除系统中的任何条目。

Curry的最新博客文章为那些对细枝末节感兴趣的人广泛地详述了他和其他黑客在研究时所使用的方法：

https://samcurry.net/web-hackers-vs-the-auto-industry/

他的团队在披露之前向受影响的公司报告了这些漏洞。至少其中一些公司确认发布了安全补丁。

关键词：本田技研工业跳槽那些事儿伴随成长的中