雷鋒網(wǎng)消息，據(jù)外媒美國時間 5 月 20 日報道，安全研究人員發(fā)現(xiàn)，CalAmp（一家為多個知名系統(tǒng)提供后端服務的公司）運營的一臺服務器因為錯誤配置，黑客可借助該漏洞接入賬號數(shù)據(jù)，甚至直接接管相關車輛。

發(fā)現(xiàn)該問題時，安全專家 Vangelis Stykas 和 George Lavdanis 正在搜尋 Viper SmartStart 系統(tǒng)中的安全漏洞，這是一款讓用戶能遠程啟動、鎖閉、解鎖或定位車輛的設備，有了它，用戶只需操作手機中的應用就能直接完成上述操作。

與其他移動應用類似，這套系統(tǒng)用了 SSL 和證書鎖定（Certificate Pinning，已知其服務器用上了硬編碼）安全連接來自動拒絕那些提供虛假 SSL 認證連接的網(wǎng)站。

不過兩位安全專家指出，該應用不但會連接到 mysmartstart.com 的域名，還會連接第三方域名（https://colt.calamp-ts.com/，即 Calamp.com Lender Outlook 服務）。只要使用 Viper 應用生成的用戶憑證，誰都能登陸控制臺。

“該控制臺看起來是 Calamp.com Lender Outlook 服務的前端，我們試著用 Viper 生成的用戶憑證登陸，居然成功了?！卑踩珜＜?Stykas 在一篇博文中寫道。“顯然，這是那些擁有多個子賬戶和大批車輛需要控制公司的控制臺。”

進一步測試后，研究人員確認了一點，那就是這套系統(tǒng)的入口還是安全的。不過，在評估中他們卻發(fā)現(xiàn)，各種報告其實是來自另一臺專用服務器，它負責運行的是 tibco jasperreports 軟件。

這還是兩位專家第一次分析這種類型的服務器。移除所有參數(shù)后，他們發(fā)現(xiàn)，自己居然以用戶身份登陸了，雖然權限受限，但已經(jīng)可以接入許多報告了。

“我們不得不運行所有報告，并且發(fā)現(xiàn)前端根本就沒有審核用戶 ID，而是選擇自動讓其通過。不過，現(xiàn)在我們得從控制臺提供 ID 作為輸入項。當然，我們可以選擇想要的任意數(shù)字?！?/p>

一番研究后他們發(fā)現(xiàn)，自己已經(jīng)可以接入所有車輛的所有報告了（包括位置記錄），而且只要知道了用戶名，就能直接接入數(shù)據(jù)源（密碼做了偽裝處理，所以無法導出）。同時，借助服務器還能輕松復制和編輯現(xiàn)有報告。

“我們無法創(chuàng)建報告、AdHoc 無線網(wǎng)絡或其它項目，不過我們能對現(xiàn)有內(nèi)容進行復制粘貼和編輯，這也就意味著我們已經(jīng)大權在握。此外，我們還能在報告中加入任意的 XSS 來竊取信息。當然，這是正派人士所不齒的?！鄙鲜鰧＜艺f。

雷鋒網(wǎng)了解到，掌握了服務器上的生產(chǎn)數(shù)據(jù)庫后，研究人員就能通過移動應用接管用戶賬戶。如果黑客知道了某賬戶的密碼（老密碼），就能直接定位車輛并開車走人。

兩位專家指出，這一漏洞可能導致下列嚴重后果：

1. 黑客只需修改用戶密碼，就能直接解鎖并開走車輛；

2. 拿到所有位置記錄報告；

3. 在某人開車時直接關掉車輛引擎；

4. 遠程操控開啟引擎；

5. 拿到所有用戶的數(shù)據(jù)；

6. 通過應用拿到總線信息；

7. 從連接數(shù)據(jù)庫拿到 IoT 設備的數(shù)據(jù)或重設密碼。這也就意味著黑客手中能掌握千萬種可能。

據(jù)悉，兩位專家本月月初就將問題反映給了 CalAmp，而后者在十天內(nèi)就將問題徹底解決。

雷鋒網(wǎng) Via. Security Affairs

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。