<strike id="m6qy2"></strike>
<fieldset id="m6qy2"></fieldset>
【連網(wǎng)】 ConnectedDrive是寶馬車(chē)載信息娛樂(lè)系統(tǒng)的名稱(chēng)。該系統(tǒng)可以在車(chē)內(nèi)使用,或可以通過(guò)一系列連接的移動(dòng)應(yīng)用程序讓司機(jī)通過(guò)移動(dòng)設(shè)備管理車(chē)輛設(shè)置。除了移動(dòng)應(yīng)用程序,該服務(wù)還有網(wǎng)頁(yè)版。
Vulnerability Lab的安全研究人員Benjamin Kunz Mejri昨日公布ConnectedDrive門(mén)戶存在的兩個(gè)零日漏洞,寶馬過(guò)去5個(gè)月未對(duì)這兩大漏洞進(jìn)行修復(fù)。漏洞#1:VIN會(huì)話劫持會(huì)話漏洞允許用戶訪問(wèn)另一用戶的VIN—車(chē)輛識(shí)別代碼。VIN是每個(gè)用戶帳號(hào)的車(chē)輛ID。VIN碼備份車(chē)輛ConnectedDrive設(shè)置到用戶的帳號(hào)。在門(mén)戶網(wǎng)站更改這些設(shè)備將更改車(chē)載設(shè)置以及附帶應(yīng)用程序。
Mejri表示,他可以繞過(guò)VIN會(huì)話驗(yàn)證并使用另一VIN訪問(wèn)并修改另一用戶的車(chē)輛設(shè)置。
ConnectedDrive門(mén)戶的設(shè)置包括鎖定/解鎖車(chē)輛,管理歌曲播放列表、訪問(wèn)電子郵件賬號(hào)、管理路由、獲取實(shí)時(shí)交通信息等。漏洞#2: ConnectedDrive門(mén)后的XSS第二個(gè)漏洞就是門(mén)戶密碼重置頁(yè)面存在XSS(跨站腳本)漏洞。
這個(gè)XSS漏洞可能帶來(lái)網(wǎng)絡(luò)攻擊,比如瀏覽器cookie獲取、后續(xù)跨站請(qǐng)求偽造(Cross-site request forgery,縮寫(xiě)CSRF)、釣魚(yú)攻擊等。
Mejri聲稱(chēng),他2016年2月向BMW報(bào)告了兩大漏洞。由于寶馬沒(méi)有及時(shí)回應(yīng)Mejri的漏洞報(bào)告,于是Mejri將漏洞公開(kāi)。差不多一年前,安全研究員Samy Kamkar揭露,OwnStar汽車(chē)黑客工具包攻擊過(guò)寶馬遠(yuǎn)程服務(wù)。
連云港日?qǐng)?bào)社主辦 連網(wǎng)·連云港新聞網(wǎng) 未經(jīng)授權(quán)·嚴(yán)禁轉(zhuǎn)載 連云港日?qǐng)?bào)社(連云港報(bào)業(yè)傳媒集團(tuán))版權(quán)所有 網(wǎng)站支持IPV6
互聯(lián)網(wǎng)新聞信息服務(wù)許可證編號(hào):32120180018 蘇ICP備12051824號(hào) 蘇新網(wǎng)備:2006026號(hào) 廣播電視節(jié)目制作經(jīng)營(yíng)許可證:蘇字第330號(hào) 信息網(wǎng)絡(luò)傳播視聽(tīng)節(jié)目許可證號(hào):1010496
報(bào)業(yè)集團(tuán) | 網(wǎng)站簡(jiǎn)介 | 廣告服務(wù) | 法律事務(wù) | 應(yīng)急電話 | 江蘇省網(wǎng)絡(luò)視聽(tīng)違規(guī)節(jié)目舉報(bào)窗口
