思科的安全专家发现了ARMv7的GNU libc中的一个内存损坏漏洞,它使攻击者可以利用Linux ARMv7系统实现远程控制智能汽车的目的。研究人员将漏洞标识为TALOS-2020-1019 / CVE-2020-6096。
思科的客户体验评估与渗透团队(Cisco's Customer Experience Assessment & Penetration Team,CX APT)在上周发布的博客帖子中披露,暴露的已连接车辆上的安全威胁和网络攻击可能包括软件漏洞,基于硬件的攻击,甚至可能会远程控制车辆。
研究人员将漏洞标识为TALOS-2020-1019 / CVE-2020-6096,并补充说漏洞“使程序执行在应该发生分段错误或崩溃的情况下继续进行。这种意外行为可能会导致程序执行在损坏的运行时状态下继续进行,从而给黑客以利用的机会。
思科CX APT团队的研究人员说,易受攻击的嵌入式Web服务器是用C ++编写的,并通过智能汽车的WiFi网络对外暴露,致使攻击者在访问WiFi网络后可攻击web服务器。当提供一个大型GET请求时,web服务器崩溃并生成一个分段错误。
如今,汽车已成为融合了机械和计算机系统的复杂机器,更多的传感器和设备正在帮助汽车测量和了解其外部和内部位置,温度和其他环境变量以及与其他物体的距离。这些自动驾驶汽车具有许多智能技术和应用程序,可以改善车辆安全性和驾驶体验。
目前,已有90%以上的车辆IVI(卫星导航主机)是基于ARM / Linux的,该漏洞不仅限于车辆,也影响了IoT和包括工业控制在内的其他嵌入式系统。
奔驰智能汽车组件OLU源码泄露
上周,来自瑞士的软件工程师蒂尔·科特曼(Till Kottmann)在戴姆勒公司(Daimler AG)的Git web网站上发现了一个错误配置,他在戴姆勒的代码托管门户网站上创建一个帐户,并下载580多个Git库的内容,包含安装在梅赛德斯奔驰车上安装的车载逻辑单元(onboard logic units,OLU)的源代码。
据戴姆勒网站介绍,OLU是位于汽车硬件和软件之间组件,可以将车辆与云端相连接。OLU简化了实时车辆数据的技术访问和管理,允许第三方开发者创建从奔驰车辆上提取数据的app。
这些app一般会被用来对路上的车辆进行追踪、记录车辆的内部状态、或者在车辆被盗时锁定车辆。
根据蒂尔·科特曼(Till Kottmann)的说法,该公司的官方GitLab服务器中没有任何帐号确认过程,这使他可以注册帐户。
GitLab是一个基于web的软件包,企业用它来集中处理Git存储库。Git是一种专门用于跟踪源代码修改的软件,允许多人编写代码,然后将代码同步到一个中央服务器。本例中中央服务器就是戴姆勒Gitlab的网页门户。
蒂尔·科特曼(Till Kottmann)说他从戴姆勒的服务器上下载了超过580个git库,他将部分文件上传到了MEGA、Internet Archive和他自己的gitlab服务器上。
但蒂尔·科特曼(Till Kottmann)的行为仍存有争议,因为他在将代码公开之前并没有准备通知戴姆勒。但另一方面,Gitlab服务器允许任何人去注册账号,因此可以看作是一个开放的系统。从开放的系统注册账号、下载信息、再上传到网络似乎也没有什么问题。
*本文出自SCA安全通信联盟,转载请注明出处。