《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 汽車(chē)威脅大爆炸!只看一下車(chē)身,就能遠(yuǎn)程解鎖十余款品牌汽車(chē)

汽車(chē)威脅大爆炸!只看一下車(chē)身,就能遠(yuǎn)程解鎖十余款品牌汽車(chē)

2022-12-05
來(lái)源:安全內(nèi)參
關(guān)鍵詞: 汽車(chē) 遠(yuǎn)程解鎖

  汽車(chē)廣播超級(jí)供應(yīng)商Sirius XM曝出漏洞,攻擊者只需知道車(chē)輛識(shí)別碼(VIN),就能遠(yuǎn)程解鎖車(chē)門(mén)、啟動(dòng)聯(lián)網(wǎng)車(chē)輛引擎;

  大多數(shù)情況下,汽車(chē)VIN碼直接展露在汽車(chē)前擋風(fēng)玻璃下方。

  安全內(nèi)參12月2日消息,美國(guó)廣播公司Sirius XM的聯(lián)網(wǎng)車(chē)輛服務(wù)修復(fù)了一個(gè)授權(quán)漏洞,此漏洞允許攻擊者在只知道車(chē)輛識(shí)別碼(VIN)的情況下,遠(yuǎn)程解鎖車(chē)門(mén)、啟動(dòng)聯(lián)網(wǎng)車(chē)輛引擎。

  研究團(tuán)隊(duì)Yuga Labs的Sam Curry發(fā)布了一系列推文介紹了此漏洞,并表示Sirius XM發(fā)布的補(bǔ)丁已經(jīng)修復(fù)安全問(wèn)題。

  這個(gè)漏洞影響到了本田、日產(chǎn)、英菲尼迪和謳歌等多個(gè)汽車(chē)品牌,Sirius XM聯(lián)網(wǎng)車(chē)輛服務(wù)發(fā)言人通過(guò)郵件發(fā)布聲明稱(chēng):

  “我們非常重視客戶(hù)賬戶(hù)的安全,并參與了漏洞獎(jiǎng)勵(lì)計(jì)劃,希望幫助識(shí)別并糾正可能對(duì)我平臺(tái)造成影響的潛在安全漏洞。作為工作的一部分,有安全研究人員向Sirius XM的聯(lián)網(wǎng)車(chē)輛服務(wù)提交了一份報(bào)告,上報(bào)了影響到特定遠(yuǎn)程信息處理程序的授權(quán)缺陷。該問(wèn)題在報(bào)告提交的24小時(shí)內(nèi)即得到解決。沒(méi)有任何用戶(hù)或其他數(shù)據(jù)受到損害,也沒(méi)有任何賬戶(hù)受到這種未授權(quán)方法的篡改。”

  今年早些時(shí)候,Curry和其他幾位漏洞研究人員曾發(fā)現(xiàn)多個(gè)影響到不同汽車(chē)廠商的漏洞。糟糕的現(xiàn)實(shí)令他們不禁發(fā)問(wèn),“到底是誰(shuí)在為這些汽車(chē)制造商提供遠(yuǎn)程信息處理服務(wù)?”

  答案是Sirius XM。目前謳歌、寶馬、本田、現(xiàn)代、英菲尼迪、捷豹、路虎、雷克薩斯、日產(chǎn)、斯巴魯和豐田使用的聯(lián)網(wǎng)汽車(chē)服務(wù)都來(lái)自該公司。

  研究人員們發(fā)現(xiàn),該遠(yuǎn)程信息處理平臺(tái)其實(shí)是使用汽車(chē)的VIN碼(大多就直接展露在汽車(chē)前擋風(fēng)玻璃下方)來(lái)授權(quán)指令、獲取用戶(hù)配置信息。

  也就是說(shuō),只要攻擊者知曉VIN碼(在很多車(chē)型上,只要在車(chē)旁看一下就能找到),就可以向遠(yuǎn)程信息處理平臺(tái)發(fā)送請(qǐng)求,進(jìn)而遠(yuǎn)程解鎖、啟動(dòng)、定位車(chē)輛,包括激活車(chē)上的燈光和喇叭。

  根據(jù)Curry的說(shuō)法,該團(tuán)隊(duì)打算很快公布關(guān)于汽車(chē)入侵案例的更多調(diào)查結(jié)果。另外,他們還收到了關(guān)于下一步攻擊目標(biāo)和預(yù)期效果的請(qǐng)求。一位推特用戶(hù)請(qǐng)他們“下一次試試OnStar?!?/p>

  汽車(chē)漏洞并不鮮見(jiàn)

  今年早些時(shí)候,安全研究人員還在本田汽車(chē)上發(fā)現(xiàn)過(guò)另一個(gè)漏洞,允許惡意黑客遠(yuǎn)程啟動(dòng)并解鎖2016年至2020年間生產(chǎn)的思域轎車(chē)。

  此漏洞被編號(hào)為CVE-2022-27254,發(fā)現(xiàn)者為馬薩諸塞大學(xué)達(dá)特茅斯分校的學(xué)生Ayyappan Rajesh和一位昵稱(chēng)叫HackingIntoYourHeart的研究者。

  他們?cè)谘芯恐懈兄x了導(dǎo)師Sam Curry的協(xié)助,并解釋稱(chēng)“各款本田汽車(chē)在每次開(kāi)門(mén)、關(guān)門(mén)、啟動(dòng)和遠(yuǎn)程啟動(dòng)時(shí)都會(huì)發(fā)送相同的、未經(jīng)加密的RF信號(hào)。攻擊者可以竊聽(tīng)請(qǐng)求并實(shí)施重放攻擊?!?/p>



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。