欢迎光临第五届中国汽车网络信息安全峰会2020!

梅赛德斯-奔驰车载逻辑单元(OLU)源代码在线泄漏

发布日期:2020-05-20

GRCCIoVSecurity

2020-05-20 10:46:32

手机阅读

点击上方蓝色字体,关注我们




戴姆勒允许任何人在其本地GitLab服务器之一上进行注册。

ZDNet了解到,梅赛德斯-奔驰货车中安装的“智能汽车”组件的源代码已在周末在线泄漏。


瑞士软件工程师蒂尔·科特曼(Till Kottmann)发现了戴姆勒公司(Daimler AG)所属的Git网站门户之后,该网站是梅赛德斯-奔驰汽车品牌背后的德国汽车公司。


Kottmann告诉ZDNet,他能够在戴姆勒代码托管门户网站上注册一个帐户,然后下载580多个Git存储库,其中包含安装在Mercedez货车中的板载逻辑单元(OLU)的源代码。


什么是OLU?


根据戴姆勒网站的说法,OLU是位于汽车硬件和软件之间的组件,并且“将汽车连接到云”。


戴姆勒表示,OLU“简化了对实车数据的技术访问和管理”,并允许第三方开发人员创建可从梅赛德斯货车检索数据的应用程序。


这些应用通常用于以下功能,例如在路上跟踪货车,跟踪货车的内部状态或在盗窃情况下冻结货车。


不安全的GITLAB安装泄漏OLU代码


科特曼(Kottmann)今天在接受ZDNet采访时说,他发现戴姆勒(Daimler)的GitLab服务器使用了与Google dorks(专门的Google搜索查询)一样简单的工具。


GitLab是一个基于Web的软件包,公司可以使用它来集中Git存储库上的工作。


Git是用于跟踪源代码更改的专业软件,它允许多人工程团队编写代码,然后将其同步到中央服务器(在本例中为戴姆勒基于GitLab的Web门户)。


Kottmann告诉ZDNet:“当我感到无聊时,我常常只是去寻找有趣的GitLab实例,大多数情况下只是用简单的Google傻子来寻找,而令我惊讶的是,似乎很少有人想到安全性设置了。”


“说实话,这是一个非常幸运的发现,当时我正在浏览一些以前从未检查过的品牌,希望能找到像一些小型承包商之类的东西。”


Kottmann说,戴姆勒未能执行帐户确认流程,这使他无法使用戴姆勒公司不存在的电子邮件在公司的官方GitLab服务器上注册帐户。


研究人员说,他从公司的服务器上下载了580多个Git存储库,并在周末将其公开发布,并将文件上传到多个位置,例如文件托管服务MEGA,Internet存档以及自己的GitLab服务器。


(*图 托管戴姆勒数据的Kottmann自己的GitLab服务器的图像。图片来源:ZDNet)


ZDNet已经审查了一些(不是全部)泄漏的Git存储库。我们查看的文件均未包含开放源代码许可证,这表明这是专有信息,无意于公开。


泄漏的项目包括Mercedes vans OLU组件的源代码,还包括Raspberry Pi映像,服务器映像,用于管理远程OLU的内部Daimler组件,内部文档,代码示例等。


尽管泄漏一开始看上去似乎是无害的,但也审查了数据的威胁情报公司Under Breach告诉ZDNet,他们发现了戴姆勒内部系统的密码和API令牌。这些密码和访问令牌的使用不当,可能会被用来计划和安装将来针对戴姆勒云和内部网络的入侵。


ZDNet和Under Breach于今天与戴姆勒取得联系后,该公司关闭了GitLab服务器,科特曼从那里下载了数据。戴姆勒发言人没有返回正式置评请求。


Kottmann告诉ZDNet,他打算将戴姆勒的源代码保留在线,直到该公司伸出援手要求他将其删除为止。


但是,对于科特曼的行为是否合法仍有一些疑问,因为科特曼在周末在线发布其源代码之前没有试图通知该公司。


另一方面,GitLab服务器允许任何人注册一个帐户,有人可以将其解释为开放系统。此外,ZDNet今天早些时候审阅的源代码不包含有关这是专有技术的警告。


文章来源:zdnet



相关文章

FPGA芯片中无法修补的“ Starbleed”漏洞将关键设备暴露给黑客
提到汽车安全,你care过车辆数据安全吗?
三菱电机公司遭网络攻击 或造成逾8000人信息外泄






SELECTED EVENTS




 

长按二维码识别关注


  • 电话咨询
  • 15021948198
  • 021-22306692
None