HanDs
管理员

0day漏洞:黑客从宝马门户网站篡改汽车信息 



http://www.zdnet.com/article/hackers-can-tamper-with-car-registration-through-bmw-connected-car-portal/

 

http://p5.qhimg.com/t013cbde6079be00380.jpg

ConnectedDrive门户网站和宝马的域非常脆弱,黑客可以通过未修补漏洞进行攻击。

研究人员最近披露出影响宝马BMW的网站域和ConnectedDrive的门户网站都没有打补丁,黑客可以通过0day漏洞进行攻击。

据Vulnerability Labs的研究人员称,这两个主要的bug都和宝马在线服务网站应用ConnectedDrive有关,ConnectedDrive 集合了汽车制造商提供的新型的联网的车辆,并使它们互联。

第一个漏洞在ConnectedDrive的门户网站找到,这是一个VIN会话漏洞。 VIN码,也就是车辆识别号码,用于识别个人的车辆并将其连接到服务。该漏洞是在使用VIN的会话管理中发现的,并且远程攻击者可以利用一次实时会话绕过验证程序。

这个会话验证漏洞可以被低权限用户帐户所利用,这会导致VIN号码和配置设置被他人操纵 ——例如通过ConnectedDrive门户网站损害已注册的和有效的VIN号。

第二个漏洞研究人员发现的漏洞是一个跨站点脚本漏洞, 这是在宝马的网站域客户端的令牌token重置系统中发现的。研究人员称这一漏洞为一个“经典的”跨站脚本漏洞,因为该安全漏洞并不需要利用用户帐户权限来开发;相反地,注入该模块只需要“弱用户交互” 。

如果利用这个漏洞,攻击者可以将恶意代码注入BMW域的模块,从而可能造成会话被劫持,网络钓鱼活动,或将用户导入恶意域名。

Vulnerability Labs在今年二月率先披露德国汽车制造商的安全漏洞。宝马在四月的报告中作出回应。但是,没有证据表明这些问题已经得到修补,导致7月7日漏洞又一次被公开披露。

ZDNet已经联系到了宝马,如果我们听到什么消息后面会有更新。


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
0day 漏洞 黑客从宝马门户网站篡改汽车信息
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复