安全研究人士称,宝马ConnectedDrive门户网站中存在两个未修复的漏洞,导致可以操纵汽车配置。
其中第一个漏洞(比较严重)会导致攻击者访问车主的车辆识别号码(VIN),更改车内设置,例如锁定/解锁车门、访问电子邮件账户、管理路线以及实时交通信息。第二个问题(比较轻微)存在于宝马ConnectedDrive门户密码重置页面,包含一个跨站点脚本漏洞。
两个漏洞都由漏洞实验室的安全研究员Benjamin Kunz Mejri发现。目前德国总部对此事尚未作出回应。
据Kunz Mejri分析,VIN ID和车辆的配置相关。首次登陆必须添加一个可用的VIN才能访问配置。漏洞导致可以绕过VIN的认证就可以访问配置。最终攻击者可以完全(未经授权)访问宝马汽车用户的配置信息。
随着越来越多的对象加入物联网,高端项目例如联网汽车将成为黑客越来越关注的对象。制造商在关注用户体验和设备连接性外,应同时结合包括设备、服务以及用户身份管理的安全方法。