丰田、奔驰和宝马等众多知名车企的API漏洞泄露车主个人信息
近20家汽车制造商和服务曝出API安全漏洞,可能会让黑客进行各种恶意活动,包括解锁、启动和跟踪汽车以及泄露客户的个人信息等。
安全漏洞影响了全球众多知名品牌,包括宝马、劳斯莱斯、梅赛德斯-奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和捷尼赛思。
这些漏洞还影响了汽车技术品牌Spireon和Reviver以及流媒体服务SiriusXM。
这些API漏洞是由Sam Curry领导的研究团队发现的,他此前已在2022年11月披露了现代、捷尼赛思、本田、讴歌、日产、Infinity和SiriusXM的安全问题。
虽然Curry之前的披露解释了黑客如何利用这些漏洞来解锁和启动汽车,但鉴于自报告这些问题以来已经过了90天的漏洞披露期,该团队近日发布了一篇披露API漏洞的更详细的博文。
受影响的厂商已经修复了该报告中提出的所有问题,因此现在无法利用这些漏洞。
最严重的API缺陷出现在宝马和梅赛德斯-奔驰,它们受到面向整个公司的单点登录(SSO)漏洞的影响,攻击者可以趁机访问内部系统。
就梅赛德斯-奔驰而言,分析师可以访问多个私有GitHub实例、Mattermost上的内部聊天频道、服务器、Jenkins和AWS实例、连接到客户汽车的XENTRY系统等内容。
图1. 梅赛德斯-奔驰内部门户网站(来源:Sam Curry)
就宝马而言,研究人员可以访问内部经销商门户网站,查询任何汽车的车辆识别码(VIN),并检索含有敏感车主详细信息的销售文件。
此外,他们还可以利用SSO漏洞以任何员工或经销商的身份登录,并访问保留给内部使用的应用程序。
图2. 访问宝马门户网站上的车辆详细信息(来源:Sam Curry)
利用其他API漏洞让研究人员得以访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、捷尼赛思、宝马、劳斯莱斯、法拉利、福特、保时捷和丰田等汽车车主的个人身份信息(PII)。
以超级昂贵的汽车为例,披露车主信息来得尤其危险,因为在一些情况下,这些数据包括销售信息、实际位置和客户地址。
法拉利存在内容管理系统(CMS)上实施的SSO很糟糕这一问题,泄露了后端API路由,并使攻击者可以从JavaScript代码片段中提取凭据。
攻击者可以利用这些漏洞来访问、修改或删除任何法拉利客户帐户,管理他们的车辆配置文件,或将自己设置为车主。
图3. 披露法拉利用户数据细节(来源:Sam Curry)
这些漏洞还可能让黑客可以实时跟踪汽车,带来潜在的物理风险,并影响数百万车主的隐私。
保时捷是受影响的品牌之一,其车载通讯系统存在的漏洞使攻击者能够检索车辆位置并发送命令。
GPS跟踪解决方案Spireon也曝出了汽车位置泄露的问题,1550万辆使用其服务的车辆受到影响,甚至让攻击者可以获得全面的权限以访问远程管理面板,使攻击者能够解锁汽车、启动发动机或禁用启动器。
图4. Spireon管理面板上的历史GPS数据(来源:Sam Curry)
第三家受影响的实体是数字车牌制造商Reviver,该公司的管理面板容易受到未经身份验证的远程访问,任何人都可以访问GPS数据和用户记录,还能够更改车牌信息等。
Curry解释了这些漏洞如何让他们可以在Reviver面板上将车辆标记为“被盗”,这将自动向警方通知事件,从而将车主/司机置于不必要的风险中。
图5. 远程修改Reviver车牌(来源:Sam Curry)
车主们可以限制存储在车辆或移动配套应用程序中的个人信息数量,从而保护自己远离这些类型的漏洞。
另外有必要将车载通讯设置为最私密的模式,并阅读隐私政策以了解数据的使用方式。
Sam Curry还向IT安全外媒BleepingComputer分享了以下建议,车主们在购车时应遵循。
Curry在发给BleepingComputer的一份声明中警告:“在购买二手车时,确保原车主的账户已被删除。如果可能的话,对与车辆关联的应用程序和服务使用强密码,并设置双因素身份验证(2FA)。”
Spireon发言人向BleepingComputer发来了以下声明:
我们的网络安全专业人员已与安全研究人员会面,讨论和评估所谓的系统漏洞,并立即在必要的范围内实施补救措施。
我们还采取了积极的措施,进一步加强我们产品组合的安全性,这是我们作为一家售后配件车载通讯解决方案领先提供商对客户持续承诺的一部分。
Spireon认真对待所有安全问题,并利用广泛的行业领先工具集来监测和扫描其产品和服务,以发现已知和新颖的潜在安全风险。
参考及来源:https://www.bleepingcomputer.com/news/security/toyota-mercedes-bmw-api-flaws-exposed-owners-personal-info/
AI智能潜在威胁,黑客利用 ChatGPT轻松入侵网络
什么是聊天GPT?
几十年来,人工智能 (AI) 一直在激发科技行业的想象力。随着投资者向该领域投入数十亿美元,可以自动创建文本、视频、照片和其他媒体的机器学习技术在科技领域蓬勃发展。
虽然人工智能为帮助人类提供了巨大的可能性,但也有抨击者强调,创建一种超越人类能力并可能失控的算法会存在潜在的危险。当 AI 接管地球时,就是世界末日的想法多少有点杞人忧天了。但是,在目前的状态下不可否认的是,人工智能已经可以协助网络犯罪分子进行非法活动。
ChatGPT(Generative Pre-trained Transformer)是 AI 领域的最新发展,由 Sam Altman 领导的研究公司 OpenAI 创建,并得到 Microsoft、Elon Musk、LinkedIn 联合创始人 Reid Hoffman 和 Khosla Ventures 的支持。
人工智能聊天机器人可以与模仿各种风格的人进行对话。ChatGPT 创建的文本远比之前构建的硅谷聊天机器人更具想象力和复杂性。它是根据从网络、存档书籍和维基百科获得的大量文本数据进行训练的。
在推出后的五天内,已有超过一百万人注册测试该技术。社交媒体上充斥着用户的查询和 AI 的回应,包括创作诗歌、策划电影、撰写文案、提供减肥和人际关系的技巧等,帮助进行创造性的头脑风暴、学习,甚至编程。
在chatGPT的帮助下进行黑客攻击
聊天机器人以五个基本点作为解答,说明了在搜索漏洞时在网站上要检查的内容。通过解释他们在源代码中看到的内容,研究人员获得了 AI 的建议,了解应该专注于代码的哪些部分。此外,他们还收到了建议的代码更改示例。在与聊天机器人聊天大约 45 分钟后,研究人员就能够破解所提供的网站。
随后,研究人员便介绍说:我们有足够多的例子来试图弄清楚什么是有效的,什么是无效的。虽然它没有给我们提供现阶段所需的确切有效载荷,但它给了我们大量的想法和关键字来搜索。有很多文章,甚至是自动化工具来确定所需的有效载荷。
根据OpenAI的说法,聊天机器人能够拒绝不适当的查询。虽然在我们的案例中,聊天机器人在每条建议的末尾提醒我们有关黑客的准则:“请记住,在尝试测试网站的漏洞之前,遵循道德黑客准则并获得许可证。” 它还警告说“在服务器上执行恶意命令可能会造成严重损害。” 但是,聊天机器人仍然提供了信息。
OpenAI 承认现阶段聊天机器人的局限性,并解释说:“虽然我们努力让AI机器人拒绝不适当的请求,但它有时仍会响应有害指令。我们正在使用 Moderation API 来警告或阻止某些类型的不安全内容。我们渴望收集用户反馈,以帮助我们正在进行的改进该系统的工作。”
潜在的威胁和可能性
网络新闻研究人员认为,攻击者使用的基于人工智能的漏洞扫描器可能会对互联网安全造成灾难性影响。
信息安全研究员也表示:“与搜索引擎一样,使用 AI 也需要技巧。你需要知道如何提供正确的信息以获得最佳结果。但是,我们的实验表明,AI 可以就我们遇到的任何漏洞提供详细的建议。”
另一方面,该团队看到了人工智能在网络安全方面的潜力。网络安全专家可以使用 AI 的输入来防止大多数数据泄露。它还可以帮助开发人员更有效地监控和测试他们的实施。
由于人工智能可以不断学习新的开发方式和技术进步,对于渗透测试人员来说,它可以作为一本“手册”,提供适合他们当前需求的有效载荷样本。
“尽管我们通过一项相对简单的渗透测试任务来测试ChatGPT,但它确实可以帮助更多人发现潜在的漏洞,这些漏洞随后可能会被人利用,并扩大威胁范围。随着AI智能的发展,游戏规则已经改变,因此企业和政府必须适应它,并做好应对措施。”研究团队负责人 Mantas Sasnauskas 说。
参考来源:
https://cybernews.com/security/hackers-exploit-chatgpt/
文章来源 :嘶吼专业版、freebuf.com
精彩推荐
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”