雷鋒網(wǎng)消息，據(jù)外媒美國(guó)時(shí)間 5 月 20 日?qǐng)?bào)道，安全研究人員發(fā)現(xiàn)，CalAmp（一家為多個(gè)知名系統(tǒng)提供后端服務(wù)的公司）運(yùn)營(yíng)的一臺(tái)服務(wù)器因?yàn)殄e(cuò)誤配置，黑客可借助該漏洞接入賬號(hào)數(shù)據(jù)，甚至直接接管相關(guān)車(chē)輛。

發(fā)現(xiàn)該問(wèn)題時(shí)，安全專(zhuān)家 Vangelis Stykas 和 George Lavdanis 正在搜尋 Viper SmartStart 系統(tǒng)中的安全漏洞，這是一款讓用戶(hù)能遠(yuǎn)程啟動(dòng)、鎖閉、解鎖或定位車(chē)輛的設(shè)備，有了它，用戶(hù)只需操作手機(jī)中的應(yīng)用就能直接完成上述操作。

與其他移動(dòng)應(yīng)用類(lèi)似，這套系統(tǒng)用了 SSL 和證書(shū)鎖定（Certificate Pinning，已知其服務(wù)器用上了硬編碼）安全連接來(lái)自動(dòng)拒絕那些提供虛假 SSL 認(rèn)證連接的網(wǎng)站。

不過(guò)兩位安全專(zhuān)家指出，該應(yīng)用不但會(huì)連接到 mysmartstart.com 的域名，還會(huì)連接第三方域名（https://colt.calamp-ts.com/，即 Calamp.com Lender Outlook 服務(wù)）。只要使用 Viper 應(yīng)用生成的用戶(hù)憑證，誰(shuí)都能登陸控制臺(tái)。

“該控制臺(tái)看起來(lái)是 Calamp.com Lender Outlook 服務(wù)的前端，我們?cè)囍?Viper 生成的用戶(hù)憑證登陸，居然成功了?！卑踩珜?zhuān)家 Stykas 在一篇博文中寫(xiě)道?！帮@然，這是那些擁有多個(gè)子賬戶(hù)和大批車(chē)輛需要控制公司的控制臺(tái)?！?/p>

進(jìn)一步測(cè)試后，研究人員確認(rèn)了一點(diǎn)，那就是這套系統(tǒng)的入口還是安全的。不過(guò)，在評(píng)估中他們卻發(fā)現(xiàn)，各種報(bào)告其實(shí)是來(lái)自另一臺(tái)專(zhuān)用服務(wù)器，它負(fù)責(zé)運(yùn)行的是 tibco jasperreports 軟件。

這還是兩位專(zhuān)家第一次分析這種類(lèi)型的服務(wù)器。移除所有參數(shù)后，他們發(fā)現(xiàn)，自己居然以用戶(hù)身份登陸了，雖然權(quán)限受限，但已經(jīng)可以接入許多報(bào)告了。

“我們不得不運(yùn)行所有報(bào)告，并且發(fā)現(xiàn)前端根本就沒(méi)有審核用戶(hù) ID，而是選擇自動(dòng)讓其通過(guò)。不過(guò)，現(xiàn)在我們得從控制臺(tái)提供 ID 作為輸入項(xiàng)。當(dāng)然，我們可以選擇想要的任意數(shù)字?！?/p>

一番研究后他們發(fā)現(xiàn)，自己已經(jīng)可以接入所有車(chē)輛的所有報(bào)告了（包括位置記錄），而且只要知道了用戶(hù)名，就能直接接入數(shù)據(jù)源（密碼做了偽裝處理，所以無(wú)法導(dǎo)出）。同時(shí)，借助服務(wù)器還能輕松復(fù)制和編輯現(xiàn)有報(bào)告。

“我們無(wú)法創(chuàng)建報(bào)告、AdHoc 無(wú)線網(wǎng)絡(luò)或其它項(xiàng)目，不過(guò)我們能對(duì)現(xiàn)有內(nèi)容進(jìn)行復(fù)制粘貼和編輯，這也就意味著我們已經(jīng)大權(quán)在握。此外，我們還能在報(bào)告中加入任意的 XSS 來(lái)竊取信息。當(dāng)然，這是正派人士所不齒的?！鄙鲜鰧?zhuān)家說(shuō)。

雷鋒網(wǎng)了解到，掌握了服務(wù)器上的生產(chǎn)數(shù)據(jù)庫(kù)后，研究人員就能通過(guò)移動(dòng)應(yīng)用接管用戶(hù)賬戶(hù)。如果黑客知道了某賬戶(hù)的密碼（老密碼），就能直接定位車(chē)輛并開(kāi)車(chē)走人。

兩位專(zhuān)家指出，這一漏洞可能導(dǎo)致下列嚴(yán)重后果：

1. 黑客只需修改用戶(hù)密碼，就能直接解鎖并開(kāi)走車(chē)輛；

2. 拿到所有位置記錄報(bào)告；

3. 在某人開(kāi)車(chē)時(shí)直接關(guān)掉車(chē)輛引擎；

4. 遠(yuǎn)程操控開(kāi)啟引擎；

5. 拿到所有用戶(hù)的數(shù)據(jù)；

6. 通過(guò)應(yīng)用拿到總線信息；

7. 從連接數(shù)據(jù)庫(kù)拿到 IoT 設(shè)備的數(shù)據(jù)或重設(shè)密碼。這也就意味著黑客手中能掌握千萬(wàn)種可能。

據(jù)悉，兩位專(zhuān)家本月月初就將問(wèn)題反映給了 CalAmp，而后者在十天內(nèi)就將問(wèn)題徹底解決。

雷鋒網(wǎng) Via. Security Affairs

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。