3月12日消息,据外媒消息,网络安全研究人员 Pen Test Partners 近日发布消息称有两款高级汽车的“防盗系统”拥有远程挟持安全漏洞,如果被黑客非法利用,那么黑客将能够直接偷走车辆或让车辆在行驶过程中直接停止,受影响的品牌分别是 Mazda、Range Rover 、Kia 、Toyota 等旗下特定车型。
安全研究人员 Pen Test Partners 表示,他发现 Pandora 和 Viper 的汽车防盗系统上存在严重的 API 漏洞,只要修改其中的参数就能实现对指定帐号的邮箱地址进行修改,并请求密码重置,从而获得账号控制权,通过这种方法可以直接追踪汽车的位置以及对车辆进行停止或解锁车门。
该漏洞可控制的车辆型号涵盖 Mazda 6、Range Rover Sport、Kia Quoris、Toyota Fortuner、Mitsubishi Pajero、Toyota Prius 50 及 RAV4 等
研究人员发现,Pandora 与 Viper 中的汽车防盗系统只有高档车才会配置,目的是为了让汽车更加安全,然而经过测试发现,该系统在用户发送 POST 修改数据请求上存在 IDOR 漏洞,因此洗车拥有所谓的防盗系统反而让汽车和车主更加不安全。
目前,Pen Test Partners 已将该漏洞报告给 Pandora 与 Viper ,希望他们能够在 7 天期限内将漏洞修复完毕,或许 7 天之后 Pen Test Partners 将会公布该漏洞的详细细节。
新浪汽车公众号
更多汽车资讯,涨知识赢好礼扫描二维码关注(auto_sina)
