0day漏洞:黑客从宝马门户网站篡改汽车信息 |
您所在的位置:网站首页 › 宝马客户门户网站 › 0day漏洞:黑客从宝马门户网站篡改汽车信息 |
0day漏洞:黑客从宝马门户网站篡改汽车信息 阅读量97189 | 发布时间 : 2016-07-08 16:32:53 x译文声明本文是翻译文章,文章来源:安全客 原文地址:http://www.zdnet.com/article/hackers-can-tamper-with-car-registration-through-bmw-connected-car-portal/ 译文仅供参考,具体内容表达以及含义原文为准。 http://www.zdnet.com/article/hackers-can-tamper-with-car-registration-through-bmw-connected-car-portal/
ConnectedDrive门户网站和宝马的域非常脆弱,黑客可以通过未修补漏洞进行攻击。 研究人员最近披露出影响宝马BMW的网站域和ConnectedDrive的门户网站都没有打补丁,黑客可以通过0day漏洞进行攻击。 据Vulnerability Labs的研究人员称,这两个主要的bug都和宝马在线服务网站应用ConnectedDrive有关,ConnectedDrive 集合了汽车制造商提供的新型的联网的车辆,并使它们互联。 第一个漏洞在ConnectedDrive的门户网站找到,这是一个VIN会话漏洞。 VIN码,也就是车辆识别号码,用于识别个人的车辆并将其连接到服务。该漏洞是在使用VIN的会话管理中发现的,并且远程攻击者可以利用一次实时会话绕过验证程序。 这个会话验证漏洞可以被低权限用户帐户所利用,这会导致VIN号码和配置设置被他人操纵 ——例如通过ConnectedDrive门户网站损害已注册的和有效的VIN号。 第二个漏洞研究人员发现的漏洞是一个跨站点脚本漏洞, 这是在宝马的网站域客户端的令牌token重置系统中发现的。研究人员称这一漏洞为一个“经典的”跨站脚本漏洞,因为该安全漏洞并不需要利用用户帐户权限来开发;相反地,注入该模块只需要“弱用户交互” 。 如果利用这个漏洞,攻击者可以将恶意代码注入BMW域的模块,从而可能造成会话被劫持,网络钓鱼活动,或将用户导入恶意域名。 Vulnerability Labs在今年二月率先披露德国汽车制造商的安全漏洞。宝马在四月的报告中作出回应。但是,没有证据表明这些问题已经得到修补,导致7月7日漏洞又一次被公开披露。 ZDNet已经联系到了宝马,如果我们听到什么消息后面会有更新。 本文翻译自安全客 原文链接。如若转载请注明出处。 商务合作,文章发布请联系 [email protected]本文由AuRora17原创发布 转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/84167 安全客 - 有思想的安全新媒体 本文转载自: 安全客 如若转载,请注明出处: http://www.zdnet.com/article/hackers-can-tamper-with-car-registration-through-bmw-connected-car-portal/ 安全客 - 有思想的安全新媒体 分享到:![]() ![]() ![]() |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |