车辆警报系统著名厂商 CalAmp 的某台服务器配置错误,可导致任何人访问数据,甚至控制账户和车辆。

研究员 Vangelis Stykas 和 George Lavdanis 在查看 Viper SmartStart 系统中的问题时发现了配置错误的问题,它可导致用户通过智能手机远程启动、锁定、解锁或直接定位车辆。

研究人员发现,这款应用使用 SSL 连接和 SSL 绑定阻止车辆遭攻击。

然而,这款应用还连接至 Calamp.com Lender Outlook (贷车)服务,用户通过使用 Viper app 凭证就可能登录该服务。Stykas 指出,该服务是一个不同的面板,似乎专为拥有多个子账户和很多车辆的企业服务以便于这些企业进行管理。

虽然域名上的所有一切都得到正确保护,但研究人员发现这些报告是由运行 tibco jasperreports 软件提供的。将所有参数删除后,研究人员发现可以有限权限用户的身份登录,不过能够访问多种报告。

研究人员解释称,“我们必须运行车辆的所有报告,对吧?用户的 id 自动从前端通过,不过现在我们必须以输入的方式从面板提供。另外,我们能够提供任意数字。”

这台服务器不仅可导致攻击者访问所有车辆的所有报告,包括位置历史等,而且还能访问包含用户名的数据来源(尽管密码被遮掩)。另外,服务器还可导致现有报告遭复制和编辑,也就是说攻击者能够添加任意 XSS 窃取信息。

研究人员从服务器上找到了所有的生产数据库,包括 CalAmp 联网设备概况,他们随后发现可通过移动应用接管用户账户,前提是知晓该账户的旧密码。随后就可从 app 上操控联网设备,在这个案例中是操纵车辆。

基本来讲,知道账户旧密码的攻击者能够将现有密码更改为旧密码,然后只要走到车辆前、解锁、发动引擎就可能窃取车厢。

该漏洞还能导致攻击者解锁所有用户以及用户位置报告的列表,或者在任何时候启动车辆引擎。他们还能“从联网数据库中获取所有的物联网设备或者重置密码并开始做手脚。”

研究人员在2018年5月初将问题告知 CalAmp 公司,后者在收到报告的10天内解决了这个问题。CalAmp 公司还更新了网站,便于研究员提交产品漏洞报告。

本文由360代码卫士翻译自SecurityWeek

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。