English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
ARMv7被发现安全漏洞,奔驰智能汽车组件OLU源码泄露
文章来源:奥航智讯  作者:网喵  发布时间:2020-05-29  浏览次数:619

思科的安全专家发现了ARMv7的GNU libc中的一个内存损坏漏洞,它使攻击者可以利用Linux ARMv7系统实现远程控制智能汽车的目的。研究人员将漏洞标识为TALOS-2020-1019 / CVE-2020-6096。


思科的客户体验评估与渗透团队(Cisco's Customer Experience Assessment & Penetration Team,CX APT)在上周发布的博客帖子中披露,暴露的已连接车辆上的安全威胁和网络攻击可能包括软件漏洞,基于硬件的攻击,甚至可能会远程控制车辆。


研究人员将漏洞标识为TALOS-2020-1019 / CVE-2020-6096,并补充说漏洞“使程序执行在应该发生分段错误或崩溃的情况下继续进行。这种意外行为可能会导致程序执行在损坏的运行时状态下继续进行,从而给黑客以利用的机会。


思科CX APT团队的研究人员说,易受攻击的嵌入式Web服务器是用C ++编写的,并通过智能汽车的WiFi网络对外暴露,致使攻击者在访问WiFi网络后可攻击web服务器。当提供一个大型GET请求时,web服务器崩溃并生成一个分段错误。


如今,汽车已成为融合了机械和计算机系统的复杂机器,更多的传感器和设备正在帮助汽车测量和了解其外部和内部位置,温度和其他环境变量以及与其他物体的距离。这些自动驾驶汽车具有许多智能技术和应用程序,可以改善车辆安全性和驾驶体验。


目前,已有90%以上的车辆IVI(卫星导航主机)是基于ARM / Linux的,该漏洞不仅限于车辆,也影响了IoT和包括工业控制在内的其他嵌入式系统。


奔驰智能汽车组件OLU源码泄露


上周,来自瑞士的软件工程师蒂尔·科特曼(Till Kottmann)在戴姆勒公司(Daimler AG)的Git web网站上发现了一个错误配置,他在戴姆勒的代码托管门户网站上创建一个帐户,并下载580多个Git库的内容,包含安装在梅赛德斯奔驰车上安装的车载逻辑单元(onboard logic units,OLU)的源代码。


据戴姆勒网站介绍,OLU是位于汽车硬件和软件之间组件,可以将车辆与云端相连接。OLU简化了实时车辆数据的技术访问和管理,允许第三方开发者创建从奔驰车辆上提取数据的app。


这些app一般会被用来对路上的车辆进行追踪、记录车辆的内部状态、或者在车辆被盗时锁定车辆。


根据蒂尔·科特曼(Till Kottmann)的说法,该公司的官方GitLab服务器中没有任何帐号确认过程,这使他可以注册帐户。


GitLab是一个基于web的软件包,企业用它来集中处理Git存储库。Git是一种专门用于跟踪源代码修改的软件,允许多人编写代码,然后将代码同步到一个中央服务器。本例中中央服务器就是戴姆勒Gitlab的网页门户。


蒂尔·科特曼(Till Kottmann)说他从戴姆勒的服务器上下载了超过580个git库,他将部分文件上传到了MEGA、Internet Archive和他自己的gitlab服务器上。


但蒂尔·科特曼(Till Kottmann)的行为仍存有争议,因为他在将代码公开之前并没有准备通知戴姆勒。但另一方面,Gitlab服务器允许任何人去注册账号,因此可以看作是一个开放的系统。从开放的系统注册账号、下载信息、再上传到网络似乎也没有什么问题。


*本文出自SCA安全通信联盟,转载请注明出处。


 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司