近20家汽车制造商和服务曝出API安全漏洞，可能会让黑客进行各种恶意活动，包括解锁、启动和跟踪汽车以及泄露客户的个人信息等。

安全漏洞影响了全球众多知名品牌，包括宝马、劳斯莱斯、梅赛德斯-奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和捷尼赛思。

这些漏洞还影响了汽车技术品牌Spireon和Reviver以及流媒体服务SiriusXM。

这些API漏洞是由Sam Curry领导的研究团队发现的，他此前已在2022年11月披露了现代、捷尼赛思、本田、讴歌、日产、Infinity和SiriusXM的安全问题。

虽然Curry之前的披露解释了黑客如何利用这些漏洞来解锁和启动汽车，但鉴于自报告这些问题以来已经过了90天的漏洞披露期，该团队近日发布了一篇披露API漏洞的更详细的博文。

受影响的厂商已经修复了该报告中提出的所有问题，因此现在无法利用这些漏洞。

访问内部门户网站

最严重的API缺陷出现在宝马和梅赛德斯-奔驰，它们受到面向整个公司的单点登录（SSO）漏洞的影响，攻击者可以趁机访问内部系统。

就梅赛德斯-奔驰而言，分析师可以访问多个私有GitHub实例、Mattermost上的内部聊天频道、服务器、Jenkins和AWS实例、连接到客户汽车的XENTRY系统等内容。

图1. 梅赛德斯-奔驰内部门户网站（来源：Sam Curry）

就宝马而言，研究人员可以访问内部经销商门户网站，查询任何汽车的车辆识别码（VIN），并检索含有敏感车主详细信息的销售文件。

此外，他们还可以利用SSO漏洞以任何员工或经销商的身份登录，并访问保留给内部使用的应用程序。

图2. 访问宝马门户网站上的车辆详细信息（来源：Sam Curry）

泄露车主详细信息

利用其他API漏洞让研究人员得以访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、捷尼赛思、宝马、劳斯莱斯、法拉利、福特、保时捷和丰田等汽车车主的个人身份信息（PII）。

以超级昂贵的汽车为例，披露车主信息来得尤其危险，因为在一些情况下，这些数据包括销售信息、实际位置和客户地址。

法拉利存在内容管理系统（CMS）上实施的SSO很糟糕这一问题，泄露了后端API路由，并使攻击者可以从JavaScript代码片段中提取凭据。

攻击者可以利用这些漏洞来访问、修改或删除任何法拉利客户帐户，管理他们的车辆配置文件，或将自己设置为车主。

图3. 披露法拉利用户数据细节（来源：Sam Curry）

跟踪车辆GPS

这些漏洞还可能让黑客可以实时跟踪汽车，带来潜在的物理风险，并影响数百万车主的隐私。

保时捷是受影响的品牌之一，其车载通讯系统存在的漏洞使攻击者能够检索车辆位置并发送命令。

GPS跟踪解决方案Spireon也曝出了汽车位置泄露的问题，1550万辆使用其服务的车辆受到影响，甚至让攻击者可以获得全面的权限以访问远程管理面板，使攻击者能够解锁汽车、启动发动机或禁用启动器。

图4. Spireon管理面板上的历史GPS数据（来源：Sam Curry）

第三家受影响的实体是数字车牌制造商Reviver，该公司的管理面板容易受到未经身份验证的远程访问，任何人都可以访问GPS数据和用户记录，还能够更改车牌信息等。

Curry解释了这些漏洞如何让他们可以在Reviver面板上将车辆标记为“被盗”，这将自动向警方通知事件，从而将车主/司机置于不必要的风险中。

图5. 远程修改Reviver车牌（来源：Sam Curry）

尽量减少泄露

车主们可以限制存储在车辆或移动配套应用程序中的个人信息数量，从而保护自己远离这些类型的漏洞。

另外有必要将车载通讯设置为最私密的模式，并阅读隐私政策以了解数据的使用方式。

Sam Curry还向IT安全外媒BleepingComputer分享了以下建议，车主们在购车时应遵循。

Curry在发给BleepingComputer的一份声明中警告：“在购买二手车时，确保原车主的账户已被删除。如果可能的话，对与车辆关联的应用程序和服务使用强密码，并设置双因素身份验证（2FA）。”

Spireon发言人向BleepingComputer发来了以下声明：

我们的网络安全专业人员已与安全研究人员会面，讨论和评估所谓的系统漏洞，并立即在必要的范围内实施补救措施。

我们还采取了积极的措施，进一步加强我们产品组合的安全性，这是我们作为一家售后配件车载通讯解决方案领先提供商对客户持续承诺的一部分。

Spireon认真对待所有安全问题，并利用广泛的行业领先工具集来监测和扫描其产品和服务，以发现已知和新颖的潜在安全风险。

参考及来源：https://www.bleepingcomputer.com/news/security/toyota-mercedes-bmw-api-flaws-exposed-owners-personal-info/