BMW连接漏洞可能滥用篡改汽车设置

安全研究员Benjamin Kunz Mejri在BMW ConnectionDrive Web Portal / Web应用程序中发现了两个漏洞。

BMW ConnectionDrive Web门户网站

关于BMW ConnectionDrive中的漏洞

第一个是客户端跨站点脚本Web漏洞,可以由远程攻击者利用,而无需特权帐户将其自己的恶意脚本代码注入受影响的模块上下文的客户端。此次攻击需要最小的用户互动。

“成功开发漏洞导致会话劫持,非持久性网络钓鱼,非持久性外部重定向到恶意来源和受影响的应用程序模块的非持久性操纵,”漏洞实验室研究团队警告。

另一个是影响VIN(车辆识别号码)会话验证和批准的漏洞。

“远程攻击者能够在处理创建时绕过VIN的安全验证批准,”漏洞实验室研究团队解释说。这允许它们用直播会话篡改,并且可能导致注册或有效的VINS的折衷,以及使用这些VINS向汽车添加新的配置设置。

这些设置主要与汽车相关’信息娱乐系统,但也可能影响车辆的锁定和解锁。

他们已经修复了吗?

BMW于2016年2月的缺陷通知,但尚未解决它们。这是漏洞实验室研究团队与漏洞信息和利用代码公开的原因之一。

“允许VIN会话劫持的BMW零天漏洞是为什么连接设备管理的身份中心方法为什么在降低风险和增强用户体验方面是必不可少的,”Simon Moffatt表示,Emea·莫博士总监,在Forgerock先进的客户工程。

“虽然制造商专注于最终用户体验和设备连接,但需要更加加入安全的安全方法,包括强烈关注设备,服务和用户身份管理,” he noted.

“目前的主要问题是,驾驶员的身份与汽车内智能系统的身份之间没有相关性。这些连接的汽车信息娱乐系统非常重要的是,可以限制可用的操作或数据的单个身份配置文件。在安全性方面,必须建立这种关系,以便只有车辆的运算符,其身份预先认证,可以改变车辆设置。这意味着如果黑客试图远程控制,他们将无法无法识别,因为他们的身份不会被车辆或其系统识别。”

分享这个