9CaKrnJWyyf auto.huanqiu.comarticle宝马ConnectedDrive存漏洞 可导致车辆被盗/e3pmh24qk/e3pmh3bo0【环球网综合报道】据美国媒体Autoevolution近日报道,宝马ConnectedDrive门户网站存在两个“零日漏洞”,可能会被黑客用于操纵与多媒体设备相关的车载设置。宝马的ConnectedDrive服务是宝马iDrive系统的一大功能,用户可通过ConnectedDrive与网络连接以获取服务和其他驾驶辅助功能。一些宝马车型甚至可以通过ConnectedDrive与用户的手机连接,为用户提供更多自定义选择和设置管理。然而,据Softpedia网站报道,宝马ConnectedDrive服务对应的网页浏览器似乎是安全链中最薄弱的一环。漏洞实验室(Vulnerability Lab)的安全研究员本杰明•孔茨•梅杰里(Benjamin Kunz Mejri)已在宝马ConnectedDrive门户网站上发布了上述两个“零日漏洞”。然而,5个月前宝马就已知晓此事。 “零日漏洞”指的是尚未有修复方法或补丁的漏洞。也就是说,目前仍没有办法修复这些漏洞。其中,一个漏洞指的是用户可获取其他用户的车辆识别号码。利用车辆识别号码,宝马网站服务可对ConnectedDrive的设置数据进行备份。如果有人在网站上改动这些设置,车载设置及其所附带应用程序都会被改动。该漏洞的安全风险在于,除了可以改变用户的收音机预设,黑客还可以打开用户邮件、控制行车路线、锁定或解锁车辆。此外,黑客掌握用户的行车路线后,便可知道用户的停车地点,进而可通过远程解锁来偷盗车辆。另外一个漏洞指的是网站账户密码重置页面存在跨网站脚本故障,可能导致网站钓鱼攻击和其他电脑安全问题。目前,宝马尚未发表关于该问题的任何评论。(实习编译:陈丽纯 审稿:刘洋)1468881000000环球网版权作品,未经书面授权,严禁转载或镜像,违者将被追究法律责任。责编:duandi环球网146888100000011["9CaKrnJWymZ","9CaKrnJWuFE","9CaKrnJWt60","9CaKrnJWpRE","9CaKrnJWjRO"]//himg2.huanqiucdn.cn/attachment2010/2016/0718/14/05/20160718020546938.png
【环球网综合报道】据美国媒体Autoevolution近日报道,宝马ConnectedDrive门户网站存在两个“零日漏洞”,可能会被黑客用于操纵与多媒体设备相关的车载设置。宝马的ConnectedDrive服务是宝马iDrive系统的一大功能,用户可通过ConnectedDrive与网络连接以获取服务和其他驾驶辅助功能。一些宝马车型甚至可以通过ConnectedDrive与用户的手机连接,为用户提供更多自定义选择和设置管理。然而,据Softpedia网站报道,宝马ConnectedDrive服务对应的网页浏览器似乎是安全链中最薄弱的一环。漏洞实验室(Vulnerability Lab)的安全研究员本杰明•孔茨•梅杰里(Benjamin Kunz Mejri)已在宝马ConnectedDrive门户网站上发布了上述两个“零日漏洞”。然而,5个月前宝马就已知晓此事。 “零日漏洞”指的是尚未有修复方法或补丁的漏洞。也就是说,目前仍没有办法修复这些漏洞。其中,一个漏洞指的是用户可获取其他用户的车辆识别号码。利用车辆识别号码,宝马网站服务可对ConnectedDrive的设置数据进行备份。如果有人在网站上改动这些设置,车载设置及其所附带应用程序都会被改动。该漏洞的安全风险在于,除了可以改变用户的收音机预设,黑客还可以打开用户邮件、控制行车路线、锁定或解锁车辆。此外,黑客掌握用户的行车路线后,便可知道用户的停车地点,进而可通过远程解锁来偷盗车辆。另外一个漏洞指的是网站账户密码重置页面存在跨网站脚本故障,可能导致网站钓鱼攻击和其他电脑安全问题。目前,宝马尚未发表关于该问题的任何评论。(实习编译:陈丽纯 审稿:刘洋)