1. 首页
  2. 网络安全新闻

汽车跟踪系统LoJack认证API存在漏洞

许多人认为只要汽车上安装了智能追踪器,即使在被盗的情况下,也可以跟踪并找到汽车。要说智能追踪器可能最著名的就是LoJack了,lojack是一款防盗/寻回软件,类似于GPS,但性能要高于GPS,可以24小时追踪巡逻队伍,24小时直属监控中心,多重追踪技术,隐蔽式追踪装置,防干扰追踪装置,在货柜大厦设置地牢内依然正常工作。另外还有TrackStar和SmarTrack。这三个跟踪器都获得了英国Thatcham Research车辆安全和安全研究组织的认可。Thatcham Research团队是由许多保险公司设立的,旨在帮助推动车辆安全,而且这三个追踪器都通过了“S5”安全标准认证。

汽车跟踪系统LoJack认证API存在漏洞

这三个跟踪器应用程序API都有授权漏洞,这将允许黑客接管帐户,实时跟踪汽车,关闭防盗警报(也可能被删除)并提取个人数据。如果防盗警报运行正常,小偷可能会停止其行动

Thatcham认证似乎只是关于设备功能的认证,而至于这些功能是否有效,则不属于验证的范围

LoJack或Tracker的作用

Tracker Touch 移动应用程序允许用户实时定位汽车,同时设置地理围栏。如果车辆被移动,则会触发短信和手机警报。

帐户接管

移动应用API允许用户更新其电子邮件地址,执行此操作的请求包含一个数字字段 – “ClientId” – 用于标识用户帐户。通过可以更改此ClientId并更改任何帐户的电子邮件地址,攻击者可以触发密码重置,把相关的电子邮件发送到自己的帐户,进而完全控制被盗车辆。这意味着,只有小偷会得到防盗警报的提示!

删除“地理围栏”警报

如果汽车被移动到指定区域(如街道)之外,则会触发潜在的防盗警报。

在’UnsubscribeIndividualAlert’的POST请求中也有一个类似的不安全的直接对象引用,允许在发出任何防盗警报时将其删除。

TrackStar账户接管

TrackStar没有Tracker那么多的功能,目前研究人员只在TrackStar上发现了一个漏洞,但这已经足够了。此请求未检查用户是否已获得授权:

https://secure.eurowatchcentral.com/device_register.aspx?subscriber_rno=490xxx

‘Subscriber_rno’是一个增量编号,可让你访问所有用户的登录名、电话号码并允许你删除与该设备关联的所有设备。

此外,你还可以添加自己的设备,该设备可以为你提供移动应用程序的密码(永远不会改变),并让你在所有的汽车上都能使用完整的手机应用程序。

然后,你可以添加和删除地理围栏,定位汽车,实时跟踪用户等,就像Tracker一样。

可能存在SQL注入

远程信息处理API端点服务器(https://svr.gtp03.com/1)上的一条路径似乎托管了未正确处理的备份文件。就安全性而言,代码看起来有点初级,因为原始数据库请求没有经过过滤就被传递到底层数据库。

虽然这可能是对主站点的备份,但是我们相信攻击者可以绕过身份验证。由于我们不想未经许可就使用SQLi,因此该想法还未进行实际验证。

http://svr.gtp03.com/instant_immobilise/instant_immobilise_handler.php应该是一个呼叫中心,在警察或车主的要求下触发车辆制动。根据我们已经看到的情况,应该可以通过安装此跟踪器来固定每辆车。

根据研究人员的漏洞排查,是LoJack和Tracker的API上出现了漏洞。

文章来源:【安全时代】 原文链接:https://www.agesec.com/news/6873.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注