ConnectedDrives是寶馬車(chē)載信息娛樂(lè)系統(tǒng)，該系統(tǒng)可以通過(guò)移動(dòng)APP來(lái)管理車(chē)輛。除了APP外，該系統(tǒng)還提供了配套的Web應(yīng)用。

Vulnerability實(shí)驗(yàn)室的安全研究員BenjaminKunz Mejri在向?qū)汃R官方提交漏洞五個(gè)月后（官方還是沒(méi)打補(bǔ)?。?，昨日公布了ConnectedDrive的兩個(gè)Web 0day漏洞。

漏洞1：VIN會(huì)話(huà)劫持

這是一個(gè)會(huì)話(huà)漏洞，惡意用戶(hù)可以借此獲取另一用戶(hù)的VIN（車(chē)輛識(shí)別號(hào)）。

VIN是車(chē)輛匹配用戶(hù)賬戶(hù)的ID號(hào)，VIN碼被用于將ConnectedDrive設(shè)置備份到他們自己的賬戶(hù)上。在Web網(wǎng)站上改變這些設(shè)置后，系統(tǒng)就會(huì)將改變同步到汽車(chē)和連入的移動(dòng)APP里。

Mejri表示他這種攻擊可以繞過(guò)VIN會(huì)話(huà)驗(yàn)證，然后使用另一個(gè)VIN接入訪(fǎng)問(wèn)以編輯其他用戶(hù)的汽車(chē)設(shè)置，具體的流程如下：

1.打開(kāi)寶馬connecteddrive的WEB界面，然后進(jìn)行登錄操作：

https://www.bmw-connecteddrive.co.uk/cdp/

2.瀏覽My Settings模塊

3.開(kāi)始運(yùn)行會(huì)話(huà)tamper，包含一個(gè)新的隨機(jī)VIN

4.保存請(qǐng)求，并操縱會(huì)話(huà)tamper，添加需要的值

5.繼續(xù)進(jìn)行GET請(qǐng)求

6.現(xiàn)在該模塊打開(kāi)了，而VIN碼的限制也就被繞過(guò)了

7.你現(xiàn)在可以向接口添加自己的VIN，用同一VIN碼來(lái)添加另一輛車(chē)

到這里，你就可以成功地復(fù)現(xiàn)這個(gè)影響寶馬車(chē)connecteddrive的漏洞了。

ConnectedDrive的設(shè)置中有解鎖/鎖定車(chē)輛的功能，還包括管理歌曲播放列表、訪(fǎng)問(wèn)電子郵件帳戶(hù)、規(guī)劃路線(xiàn)，以及獲取實(shí)時(shí)的交通信息等等多個(gè)實(shí)用模塊。

漏洞2：ConnectedDrive系統(tǒng)WEB的XSS

第二個(gè)漏洞出現(xiàn)在門(mén)戶(hù)頁(yè)面上重置密碼處，也就是passwordResetOk.html文件。遠(yuǎn)程操作的黑客可以將自己的payload以GET方式發(fā)送過(guò)去，注入到該客戶(hù)端WEB界面中。

PoC如下：

https://www.bmw.de/de/publicPools/landingPages/passwordResetOk.html?t=OiWU9ARpVXDXDjlRJ3tS6XxgnOvkFzRK%22%3E%3C[CLIENT SIDE SCRIPT CODE INJECT!]iframe%20src=a%20onload=alert%28document.cookie%29%20%3C

這個(gè)XSS漏洞可以用于竊取cookie、配合CSRF攻擊、釣魚(yú)攻擊等等。

Mejri表示他曾在2015年2月向?qū)汃R官方提交了這兩個(gè)漏洞，但是官方并沒(méi)有及時(shí)回復(fù)他的報(bào)告。于是乎，這位研究人員就選擇公開(kāi)了他的發(fā)現(xiàn)。如果你想了解更多的細(xì)節(jié)，可以看這里：第一個(gè)漏洞，第二個(gè)漏洞。

大約一年前，安全研究員SamyKamkar曾透露，他的OwnStar汽車(chē)黑客工具箱，也可以用于攻擊寶馬的遠(yuǎn)程服務(wù)。