宝马车联网存2项漏洞 可被黑客盗走车辆

据美国汽车新闻资讯网站autoevolution报道，宝马ConnectedDrive的门户网站存在两项“零日漏洞”，可能会被黑客用来操控多媒体设备相关的车辆设置。

所谓“零日漏洞”，是指尚未有修复方法或补丁的漏洞。这就是说，现在没有办法修复这些漏洞。

ConnectedDrive是宝马车载信息娱乐系统的名称。该系统可以在车内使用，或通过一系列连接的移动应用程序让司机通过移动设备管理车辆设置。该服务有移动应用程序和网页版。据媒体Softpedia报道，ConnectedDrive网页版似乎是安全链中最薄弱的一环。

漏洞实验室（Vulnerability Lab）的安全研究员本杰明·孔茨·梅杰里（Benjamin Kunz Mejri）已经在宝马ConnectedDrive门户网站上发布了上述两个“零日漏洞”。他已经提前通知宝马，而且5个月前宝马就已知晓此事。

这两个漏洞，其中一个允许用户访问另一用户的车辆识别代码（VIN）。VIN是每个用户帐号的车辆ID。VIN码备份车辆ConnectedDrive设置到用户的帐号。在门户网站更改这些设备将更改车载设置以及附带应用程序。其安全危险在于，除了能更改车辆收音机预设之外，黑客还能够打开用户的邮件、控制行车路线、锁定或解锁车辆。黑客获取用户的行车路线之后，可以知道用户停车地点，有可能通过远程解锁窃走车辆。第二个漏洞是门户网站密码重置页存在跨站脚本故障，这可能带来网络钓鱼攻击及其他计算机安全问题。宝马公司尚未公布对此事件的评论。