宅客頻道消息,據外媒美國時間 5 月 20 日報道,安全研究人員發現,CalAmp(一家為多個知名系統提供後端服務的公司)運營的一臺服務器因為錯誤配置,黑客可藉助該漏洞接入賬號數據,甚至直接接管相關車輛。
發現該問題時,安全專家 Vangelis Stykas 和 George Lavdanis 正在搜尋 Viper SmartStart 系統中的安全漏洞,這是一款讓用戶能遠程啟動、鎖閉、解鎖或定位車輛的設備,有了它,用戶只需操作手機中的應用就能直接完成上述操作。
與其他移動應用類似,這套系統用了 SSL 和證書鎖定(Certificate Pinning,已知其服務器用上了硬編碼)安全連接來自動拒絕那些提供虛假 SSL 認證連接的網站。
不過兩位安全專家指出,該應用不但會連接到 mysmartstart.com 的域名,還會連接第三方域名(https://colt.calamp-ts.com/,即 Calamp.com Lender Outlook 服務)。只要使用 Viper 應用生成的用戶憑證,誰都能登陸控制檯。
“該控制檯看起來是 Calamp.com Lender Outlook 服務的前端,我們試著用 Viper 生成的用戶憑證登陸,居然成功了。”安全專家 Stykas 在一篇博文中寫道。“顯然,這是那些擁有多個子賬戶和大批車輛需要控制公司的控制檯。”
進一步測試後,研究人員確認了一點,那就是這套系統的入口還是安全的。不過,在評估中他們卻發現,各種報告其實是來自另一臺專用服務器,它負責運行的是 tibco jasperreports 軟件。
這還是兩位專家第一次分析這種類型的服務器。移除所有參數後,他們發現,自己居然以用戶身份登陸了,雖然權限受限,但已經可以接入許多報告了。
“我們不得不運行所有報告,並且發現前端根本就沒有審核用戶 ID,而是選擇自動讓其通過。不過,現在我們得從控制檯提供 ID 作為輸入項。當然,我們可以選擇想要的任意數字。”
一番研究後他們發現,自己已經可以接入所有車輛的所有報告了(包括位置記錄),而且只要知道了用戶名,就能直接接入數據源(密碼做了偽裝處理,所以無法導出)。同時,藉助服務器還能輕鬆複製和編輯現有報告。
“我們無法創建報告、AdHoc 無線網絡或其它項目,不過我們能對現有內容進行復制粘貼和編輯,這也就意味著我們已經大權在握。此外,我們還能在報告中加入任意的 XSS 來竊取信息。當然,這是正派人士所不齒的。”上述專家說。
宅客頻道瞭解到,掌握了服務器上的生產數據庫後,研究人員就能通過移動應用接管用戶賬戶。如果黑客知道了某賬戶的密碼(老密碼),就能直接定位車輛並開車走人。
兩位專家指出,這一漏洞可能導致下列嚴重後果:
1. 黑客只需修改用戶密碼,就能直接解鎖並開走車輛;
2. 拿到所有位置記錄報告;
3. 在某人開車時直接關掉車輛引擎;
4. 遠程操控開啟引擎;
5. 拿到所有用戶的數據;
6. 通過應用拿到總線信息;
7. 從連接數據庫拿到 IoT 設備的數據或重設密碼。這也就意味著黑客手中能掌握千萬種可能。
據悉,兩位專家本月月初就將問題反映給了 CalAmp,而後者在十天內就將問題徹底解決。
宅客頻道 Via. Security Affairs
閱讀更多 宅客 的文章
