新闻快讯
< >

物联网提供商服务器配置错误致大量汽车面临被盗风险

物联网提供商服务器配置错误致大量汽车面临被盗风险-E安全

CalAmp Corp.(CAMP)是一家总部位于美国加利福尼亚州尔湾市的物联网解决方供货商,为许多知名汽车防盗系统提供后台服务。最近有安全研究人员发现,一台由CalAmp运营的服务器存在配置错误问题,导致任何人都能够对数据库进行直接访问和修改,甚至允许用户账户和车辆被接管。

安全研究人员Vangelis Stykas和George Lavdanis在Viper SmartStart系统中寻找问题时发现了这个安全隐患,该系统允许用户直接通过他们的智能手机、智能手表或者手环远程启动、锁定、解锁或定位他们的车辆。

Viper SmartStart系统应用程序使用SSL连接,并且通过使用校验证书绑定(SSL pinning)来防止篡改。从这一点来说,该应用程序原本应该是很安全的,但研究人员发现它不仅仅连接到了mysmartstart[.]com域名,并且还连接到了一个第三方域名(colt.calamp [.]com)。

物联网提供商服务器配置错误致大量汽车面临被盗风险-E安全    

很显然这个域名归属于CalAmp公司,从网页内容来看,这个面板是一项被称为“Lender Outlook”服务的前端。该服务针对的是那些拥有多个Viper SmartStart系统子账户和大量车辆的公司,以便能够进行更系统的管理。研究人员使用Viper SmartStart系统应用程序的用户名和密码进行了登陆尝试,事实证明,这是可行的。

尽管域中所有的数据都得到了正确的保护,但所有的报告都是由另一台运行tibco jasperreports软件的服务器提供的。在删除了所有的参数后,研究人员发现尽管其用于登陆的用户账户权限有限,但可以对各种报告进行访问。

物联网提供商服务器配置错误致大量汽车面临被盗风险-E安全    

通过这台服务器不仅可以访问所有车辆的所有报告(包括位置历史记录),还可以访问包括带有用户名的数据源(尽管密码被屏蔽)。此外,服务器还允许复制和编辑现有报告,这意味着攻击者可以添加任意XSS来窃取信息。

研究人员还表示,只要知道了某位用户的旧密码,就能够Viper SmartStart系统应用程序进行密码修改,以完全接管用户账户。由于用户能够通过Viper SmartStart系统对自己的汽车进行多种操作,因此如果用户账户被接管,接下来被接管的可能就是用户的车辆。

研究人员在本月初向CalAmp报告了这个问题,该公司在收到报告后的10天内解决了这个错误。另外,他们还更新了自己的网站,让安全研究人员更容易地报告他们在CalAmp公司产品中发现的其他漏洞。