安全研究人员发现,CalAmp(一家为多个知名系统提供后端服务的公司)运营的一台服务器因为错误配置,黑客可借助该漏洞接入账号数据,甚至直接接管相关车辆。
发现该问题时,安全专家 Vangelis Stykas 和 George Lavdanis 正在搜寻 Viper SmartStart 系统中的安全漏洞,这是一款让用户能远程启动、锁闭、解锁或定位车辆的设备,有了它,用户只需操作手机中的应用就能直接完成上述操作。
与其他移动应用类似,这套系统用了 SSL 和证书锁定(Certificate Pinning,已知其服务器用上了硬编码)安全连接来自动拒绝那些提供虚假 SSL 认证连接的网站。
不过两位安全专家指出,该应用不但会连接到 my *** artstart.com 的域名,还会连接第三方域名(https://colt.calamp-ts.com/,即 Calamp.com Lender Outlook 服务)。只要使用 Viper 应用生成的用户凭证,谁都能登陆控制台。
“该控制台看起来是 Calamp.com Lender Outlook 服务的前端,我们试着用 Viper 生成的用户凭证登陆,居然成功了。”安全专家 Stykas 在一篇博文中写道。“显然,这是那些拥有多个子账户和大批车辆需要控制公司的控制台。”
进一步测试后,研究人员确认了一点,那就是这套系统的入口还是安全的。不过,在评估中他们却发现,各种报告其实是来自另一台专用服务器,它负责运行的是 tibco jasperreports 软件。
这还是两位专家之一次分析这种类型的服务器。移除所有参数后,他们发现,自己居然以用户身份登陆了,虽然权限受限,但已经可以接入许多报告了。
“我们不得不运行所有报告,并且发现前端根本就没有审核用户 ID,而是选择自动让其通过。不过,现在我们得从控制台提供 ID 作为输入项。当然,我们可以选择想要的任意数字。”
一番研究后他们发现,自己已经可以接入所有车辆的所有报告了(包括位置记录),而且只要知道了用户名,就能直接接入数据源(密码做了伪装处理,所以无法导出)。同时,借助服务器还能轻松复制和编辑现有报告。
“我们无法创建报告、AdHoc 无线 *** 或其它项目,不过我们能对现有内容进行复制粘贴和编辑,这也就意味着我们已经大权在握。此外,我们还能在报告中加入任意的 XSS 来窃取信息。当然,这是正派人士所不齿的。”上述专家说。
雷锋网(公众号:雷锋网)了解到,掌握了服务器上的生产数据库后,研究人员就能通过移动应用接管用户账户。如果黑客知道了某账户的密码(老密码),就能直接定位车辆并开车走人。
两位专家指出,这一漏洞可能导致下列严重后果:
1. 黑客只需修改用户密码,就能直接解锁并开走车辆;
2. 拿到所有位置记录报告;
3. 在某人开车时直接关掉车辆引擎;
4. 远程操控开启引擎;
5. 拿到所有用户的数据;
6. 通过应用拿到总线信息;
7. 从连接数据库拿到 IoT 设备的数据或重设密码。这也就意味着黑客手中能掌握千万种可能。
据悉,两位专家本月月初就将问题反映给了 CalAmp,而后者在十天内就将问题彻底解决。
稿源:雷锋网,封面源自 *** ;
截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。...
在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下...
据Techspot报道,乌克兰国家安全局(SBU)宣布,自俄罗斯入侵该国以来,该机构已发现并关闭了5个运营10万个社交媒体账户的机器人农场,这些账户传播与入侵有关的假新闻。 SBU在一份新闻稿中写道,这些农场位于包括哈尔科夫、切尔卡瑟、捷尔诺皮尔和外喀尔巴阡在内的地区,被用于 “大规模信息破坏”,...
Vice 报道称,在最近一次行动中,乌克兰安全局(SBU)声称抓获了一名在乌境内为俄军提供通信服务的黑客。在当天上午 10 点发布的推文和电报消息中,SBU 分享了本次行动的诸多细节。尽管尚未得到另一独立消息源的证实,但我们已经看到了面部打码的黑客、以及所谓的通信系统照片。 电报帖子指出,黑客...
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分...
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...