云开·全站app中心手机版 每日安全资讯：0day漏洞：黑客从宝马门户网站篡改汽车信息

今日信息

0 day 漏洞：黑客篡改了 BMW 门户的汽车信息

ConnectedDrive 门户和 BMW 的域非常脆弱，黑客可以通过未修补的漏洞进行攻击。

研究人员最近透露，影响 BMW、BMW 和 ConnectedDrive 门户的网站域没有打补丁，黑客可以通过 0 day 漏洞进行攻击。

据 Vulnerability Labs 的研究人员称，这两个主要错误与宝马的在线服务网站应用程序 ConnectedDrive 有关，该应用程序汇集了汽车制造商的新型联网汽车并将它们连接起来。

第一个漏洞是在 ConnectedDrive 的 Web 门户上发现的，它是一个 VIN 会话漏洞。VIN 码或车辆识别号用于识别个人的车辆并将其连接到服务。该漏洞是在使用 VIN 的会话管理中发现的，远程攻击者可以利用实时会话绕过身份验证器。

此会话身份验证漏洞可被低权限用户帐户利用开yunapp体育官网入口下载手机版，这可能导致其他人操纵 VIN 号和配置设置 - 例如，通过 ConnectedDrive Web 门户，这会破坏已注册和有效的 VIN 号。

研究人员发现的第二个漏洞是在 BMW 的网站域客户端的令牌重置系统中发现的跨站脚本漏洞。研究人员称其为“经典”跨站点脚本漏洞开yun体育官网入口登录app，因为它不需要利用用户帐户权限进行开发;相反，注入模块只需要 “弱用户交互”。

如果利用此漏洞，攻击者可以将恶意代码注入 BMW 域的模块中，从而导致会话劫持、网络钓鱼活动或将用户引入恶意域名。

今年 2 月，Vulnerability Labs 率先披露了一家德国汽车制造商的安全漏洞。宝马在其 4 月份的报告中做出了回应。但是，没有证据表明这些问题已被修补，导致 7 月 7 日漏洞再次公开披露。

ZDNet 已经联系了宝马开yun体育app入口登录，如果我们听到任何消息，稍后会有更新。