ゼロデイの欠陥により、ハッカーはBMWポータルを通じて車を改ざんすることができます

BMW WebドメインとConnectedDriveポータルに影響を与えるゼロデイの脆弱性を明らかにした。

Vulnerability Labsの研究者によると、BMWのオンラインサービスWebアプリケーションであるConnectedDriveに関連する2つの主要なバグは、自動車メーカーが生産する新しいインターネット接続車両の接続された車のハブです。

ConnectedDriveポータルにある最初の欠陥は、VINセッションの脆弱性です。 VINまたは車両識別番号は、サービスに接続された個々のモデルを識別するために使用されます。バグはVIN使用のセッション管理内にあり、リモートの攻撃者はライブセッションを使用して検証手順をバイパスできます。

セッション特権の脆弱性は、低特権ユーザアカウントで悪用され、ConnectedDriveポータルを通じて登録された有効なVIN番号を妥協するなど、VIN番号や設定を操作することができます。

2番目のバグは、パスワードリセットトークンシステムのBMW Webドメイン上のクライアント側を発見したクロスサイトスクリプティングの脆弱性です。セキュリティ脆弱性には特権ユーザーアカウントを使用する必要はなく、脆弱なモジュールへのペイロード注入だけでは “低ユーザーのやりとり”が必要になるため、この問題を「古典的な」クロスサイトスクリプティングの脆弱性と呼びます。

悪用されると、攻撃者はドメインのモジュールに悪質なコードを挿入し、セッションハイジャック、フィッシングキャンペーン、悪意のあるドメインにユーザーを誘導する可能性があります。

脆弱性研究所は、今年2月にドイツの自動車メーカーにセキュリティの欠陥を初めて明らかにした。 BMWは4月の報告書に答えた。しかし、これらの問題が修正されたという証拠はなく、7月7日に一般公開される。

ウェブサイトはBMWに届きました。私たちが聞くと更新されます。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応