新闻 | 12345 | 社区 | 网视 | 图片 | 拍客 | 摄影 | 财经 | 房产 | 家居 | 汽车 | 旅游 | 健康 | 全景 | 人才 | 供求 | 数码 | 文化 | 少儿
 
首页 > 2016网络安全宣传周 > 网络安全知识
黑客可通过宝马门户网站漏洞篡改BMW车辆的设置
www.langya.cn 琅琊新闻网    发布时间:2016-09-19 10:52:00 论坛

  宝马ConnectedDrive门户网站存在的两大漏洞可以让攻击者操纵与宝马信息娱乐系统有关的车辆设置。

  ConnectedDrive是宝马车载信息娱乐系统的名称。该系统可以在车内使用,或可以通过一系列连接的移动应用程序让司机通过移动设备管理车辆设置。除了移动应用程序,该服务还有网页版。Vulnerability Lab的安全研究人员Benjamin Kunz Mejri昨日公布ConnectedDrive门户存在的两个零日漏洞,宝马过去5个月未对这两大漏洞进行修复。

  漏洞#1:VIN会话劫持会话漏洞允许用户访问另一用户的VIN—车辆识别代码。VIN是每个用户帐号的车辆ID。VIN码备份车辆ConnectedDrive设置到用户的帐号。在门户网站更改这些设备将更改车载设置以及附带应用程序。Mejri表示,他可以绕过VIN会话验证并使用另一VIN访问并修改另一用户的车辆设置。ConnectedDrive门户的设置包括锁定/解锁车辆,管理歌曲播放列表、访问电子邮件账号、管理路由、获取实时交通信息等。

  漏洞#2: ConnectedDrive门后的XSS第二个漏洞就是门户密码重置页面存在XSS(跨站脚本)漏洞。这个XSS漏洞可能带来网络攻击,比如浏览器cookie获取、后续跨站请求伪造(Cross-site request forgery,缩写CSRF)、钓鱼攻击等。Mejri声称,他2016年2月向BMW报告了两大漏洞。由于宝马没有及时回应Mejri的漏洞报告,于是Mejri将漏洞公开。差不多一年前,安全研究员Samy Kamkar揭露,OwnStar汽车黑客工具包攻击过宝马远程服务。

来源:E安全  编辑:丁文成

分享到:
评论】【关闭】【纠错:sdlangya@126.com】
琅琊新闻网版权与免责声明:
1、琅琊新闻网所刊登的临沂日报报业集团旗下媒体各类新闻﹑图片、信息和各种原创专题资料 版权,均为琅琊新闻网及作者或页面内声明的版权人所有。未经许可,域内(临沂)商业性网 站或组织不得以任何形式转载、复制、编辑或发布;域内商业网站转载本网信息须经书面授权 ,域外网站转载请注明来源:琅琊新闻网。违反上述声明者,本网将追究其相关法律责任。
2、凡本网注明"来源:XXX(非琅琊新闻网)"的作品,均转载自其他媒体,转载目的在于传 递更多信息,并不代表本网赞同其观点和对其真实性负责。如因作品内容、版权和其他问题需 要同本网联系的,请30日内进行。
纠错邮箱:sdlangya@126.com 投诉电话: 0539-8966968
频道精选
房产
家居
汽车
财经
旅游
琅琊新闻网
移动产品下载区
琅琊网官方微信
琅琊网官方微博
3G手机琅琊网
临沂圈子
琅琊网临沂社区
临沂家居网微信