研究表明,丰田、宝马、法拉利、福特等10多个全球主要汽车厂商或知名品牌在API、远程信息处理和其他组件中存在大量漏洞,可能使网络攻击者控制汽车的一些功能,可以让黑客实施账户接管、远程代码执行、任意命令执行和信息窃取等非法行为。
包括Yuga实验室安全工程师Sam Curry在内的七名研究人员发现,至少有16家全球主要汽车制造商以及3家汽车技术供应商的汽车或应用存在安全漏洞,可能遭遇账户接管、远程代码执行(RCE)等攻击,更不用说执行命令对车辆的物理控制。
一些漏洞还可能导致黑客直接获取存储在汽车应用中的用户个人身份信息(PII),从而导致大量用户信息被盗。
Sam Curry于2022年11月首次披露了现代、捷尼赛思、本田、讴歌、日产、英菲尼迪和SiriusXM存在的安全漏洞,这项研究源于这些研究人员在电动摩托车中发现的一系列漏洞,通过这些漏洞可以实施操控电动摩托车的前灯等行为。
其他六名研究人员包括Assetnote创始人Shubham Shah、Rivian高级红队车辆安全工程师Neiko Rivera、Yugalabs安全工程师Brett Buerhaus、Robinhood漏洞猎人Ian Carroll,Western Regional Collegiate网络防御竞赛安全研究员Justin Rhinehart以及漏洞猎人Maik Robert。作为负责任的漏洞披露实践的一部分,他们分享了详细的调查结果。
报告指出,GPS供应商Spireon、汽车通信系统供应商SiriusXM、汽车平台即服务提供商Reviver以及他们的汽车行业客户(其中包括劳斯莱斯、宝马、法拉利、梅赛德斯-奔驰、捷豹、保时捷、路虎、丰田、本田、日产、现代、福特、起亚、讴歌、劳恩斯和英菲尼迪)的应用中都存在这些漏洞。
令人不安的是,GPS供应商Spireon所有的产品都受到了影响,这些产品被用于1550万辆汽车中,并拥有120万个账户。其中一个漏洞导致在用于管理用户帐户、设备和车队的核心系统上远程执行代码。
Curry所描述的另一个漏洞是一个“最令人震惊的发现”,它允许黑客完全管和访问企业范围内的管理面板,黑客可以读取任何设备位置,刷新/更新设备固件,并发送任意命令来解锁车辆、启动发动机、禁用启动器(包括警车、救护车和执法车辆的启动器)等。
同样,汽车平台即服务提供商Reviver中的漏洞可以使网络攻击者获得对所有用户帐户和Reviver连接车辆的管理的完全超级管理访问权。这可以暴露GPS位置、更改车牌、将车辆状态更新为“被盗”、访问所有用户记录和车队管理功能。
而汽车通信系统供应商SiriusXM的漏洞泄露了AWS密钥,这些密钥具有对其S3存储桶的完整读写访问权限,网络攻击者可以通过这些密钥检索所有文件,包括用户数据库、源代码和产品的配置文件。
此外,由于配置不正确的SSO密钥,梅赛德斯-奔驰的汽车很容易受到攻击,这导致研究人员访问了多个Github实例、该公司使用的内部聊天工具、SonarQube、Jenkins和其他构建服务器、内部云部署服务等。梅赛德斯-奔驰公司生产的汽车也容易受到远程代码执行(RCE)、个人身份信息(PII)披露和账户访问的影响。
法拉利存在的漏洞允许零交互账户接管任何客户账户,客户记录;创建、修改、删除员工管理员用户账号等。
宝马和劳斯莱斯汽车存在核心SSO漏洞,黑客可以访问内部经销商门户(检索VIN号和销售文件),并作为员工访问由SSO保护的所有应用。
丰田汽车容易受到不安全的直接对象引用(IDOR)漏洞的攻击,从而对外泄露了丰田金融客户的姓名、电话号码、电子邮件地址和贷款状态。捷豹和路虎也有IDOR漏洞,可能会暴露密码、姓名、电话号码、物理地址和车辆信息。
此外,起亚、本田、英菲尼迪、日产、讴歌、现代和劳恩斯汽车可以远程完全锁定和解锁。黑客还可以仅使用车辆识别码(VIN)就能实施启动和停止引擎、定位汽车、闪烁大灯或鸣笛等操作。
这些汽车也容易被远程帐户接管和泄露个人身份信息(PII),其中包括姓名、电话号码、电子邮件地址、物理地址,并通过车辆识别码(VIN)对外泄露。此外,起亚汽车的漏洞还可以传输360度摄像头和实时图像。福特和保时捷在远程信息处理方面都有各自的问题,可能会暴露位置、个人身份信息(PII)等。
Curry说:“从目前的情况来看,汽车生产商迫不及待安装一些物联网设备。目前,这些设备的功能大多有限,所以只能跟踪、解锁和启动车辆,但随着特斯拉和Rivian等公司生产更多可以远程控制的联网车辆,我担心市场压力会迫使其他汽车生产商推出不成熟的解决方案,从而更容易受到网络攻击。”