团灭！十余家一线汽车品牌被曝出API漏洞 可用于跟踪汽车、窃取信息

本周安全行业最重磅的新闻——

团灭！十余家一线汽车品牌被曝出API漏洞 可用于跟踪汽车、窃取车主信息

 

汽车行业最近真的不太平，继某来车主大规模数据泄露之后，又有大量一线知名汽车品牌陷入了舆论的泥潭。日前，国外一个名为Sam Curry的网络安全研究团队称，在包括某马、某驰、某拉利、某时捷等数十家汽车制造商生产的车辆和车联网服务中，发现了多个严重的API 漏洞，这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪，窃取车主个人信息的恶意攻击活动。

 

该团队称，其中最严重的几个API漏洞出现在某马和某驰的系统中，通过其中一个漏洞，攻击者可以深入的访问到内部业务系统。例如，在对梅赛德斯-某驰的测试中，研究人员可以访问多个私有 GitHub 实例、Mattermost 上的内部聊天频道、服务器，并成功连接到客户汽车的车载媒体系统。

 

在对某马的测试中，研究人员可以访问其内部经销商门户网站，查询任何汽车的 VIN，并检索包含敏感车主信息的销售文件。此外，攻击者还可以利用单点登录漏洞，以员工或经销商的身份登录账户，访问保留给内部使用的应用程序。

 

除了窃取车主个人信息、远程解锁、控制车辆启动外，利用这些API漏洞，攻击者还能够在物理层面带来潜在的风险，譬如，黑入车辆的GPS系统以监测车辆位置，实时跟踪车主等。

 

一个坏消息是，研究团队称，过去5年内生产的汽车只要具备远程启动功能，其系统几乎都存在类似的API漏洞。一个好消息是，目前，受影响的供应商已经修复所有漏洞问题，现在无法利用这些漏洞。

 

虽然说，世界上没有绝对安全的保险柜，也没有绝对安全的车载系统，随着车辆智能化程度的加深，带来更多的风险敞口也由此打开，从门锁、车机屏幕到车辆控制系统，攻击者总能找到可供攻击的漏洞。

 

但无论怎样，对于车企而言，获取便捷性、舒适性决不能以牺牲安全性为前提，加强信息安全建设，保护好用户信息安全和用车安全才是最关键的一环。

 

接下来我们再来看一看行业新闻。

 

 

1月5日，威胁猎人在成立6周年之际正式官宣品牌焕新回归发布了全新视觉形象，并发布全新价值主张——以情报构筑数字化安全基石。据威胁猎人官方消息，其将基于“以情报建立API安全基线”的理念，推出API安全管控平台，为用户直接交付结果，形成差异化的竞争优势，更好地为企业业务及数据安全保驾护航。

 

很多老朋友应该都知道，威胁猎人这一品牌自2017年创立，在行业中如雷贯耳，2019年10月，出于更全面的业务发展考虑，威胁猎人曾经更名为“永安在线”。而今，为了更加清晰地传达公司的核心能力及标签，“威胁猎人”焕新回归，并提出了“以情报构筑数字化安全基石”的全新价值主张，未来将以情报为抓手，更好地去识别数字化过程中的各类风险，基于情报能力，为企业构建标准化的基础设施，赋能各行各业的数字化安全。

 

在我们看来，一次品牌更名升级，是对自身业务和战略的重新思考，回归威胁猎人品牌也是不忘初心的表现，希望威胁猎人未来更加精彩。

 

 

1月6日，北京丈八网络安全科技有限公司宣布完成数千万元A轮融资，本轮由泓沣资本和白云金控共同投资，投后该公司估值数亿元人民币。丈八网安成立于2021年3月，主要聚焦于网络靶场领域，目前，“火天网境”衍生的四款靶场产品（火天网演、火天网训、火天网测、火天网弈）已经围绕特种行业、教育及金融等关键基础设施行业，在基于真实业务的仿真训练、竞赛、攻防演练、测试评估等多种场景中发挥重要作用。

 

在资本寒冬中，丈八网安顺利完成本轮融资，这也显示了专业资本对网络靶场赛道的长期看好，代表了资本市场对丈八网安技术实力和发展潜力的认可。相信国有资本的全力加持，也为丈八网安日后的发展带来更加广阔的空间。恭喜丈八网安。

 

 

1月7日，由中安网星出品的首届 ADconf 安全大会在北京举行，作为2023年全行业首场聚焦硬核攻防技术的安全会议，本场大会以“群雄逐鹿•以战止战”为主题，邀请来了多位攻防一线的技术大牛，赛博昆仑创始人MJ、昆仑实验室负责人古河，以及来自深信服深蓝实验室、360灵腾实验室、绿盟科技烈鹰战队、中安网星御守实验室、微步在线红队、长亭科技红队的技术专家，都登台分享了对最新安全攻防的观察与实践。

 

作为大会出品人，中安网星还在会议现场发布了包括《ITDR-身份威胁检测与响应》、《ITDR-vSphere》、《ITDR-身份认证协议》、《ITDR- IAM》、《ITDR-Kubernetes》等在内的一系列技术白皮书，沉淀了自身在ITDR技术栈诸多技术细节和应用。

 

安全419后续也将围绕中安网星ITDR相关研究进行深度报道，敬请关注。

 

本期一周安全漫谈就到这里啦，关注安全419，我们下周再见~