漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-08173
漏洞标题:某GPS系统严重问题,可控制5400多辆汽车(开车的朋友注意了!!)
相关厂商:CNCERT
漏洞作者: zeracker
提交时间:2012-06-11 16:22
修复时间:2012-07-26 16:23
公开时间:2012-07-26 16:23
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-06-11: 细节已通知厂商并且等待厂商处理中
2012-06-14: 厂商已经确认,细节仅向厂商公开
2012-06-24: 细节向核心白帽子及相关领域专家公开
2012-07-04: 细节向普通白帽子公开
2012-07-14: 细节向实习白帽子公开
2012-07-26: 细节向公众公开
简要描述:
太过于依赖GPS的车友们注意啦!!!
某GPS系统存在问题,可控制5400多辆汽车。
可远程关闭
太过于依赖GPS的车友们注意啦,囧。危害大不大,我就不清楚了,没钱没车的飘过。
GPS汽车防盗器是由GPS卫星定位系统和GSM网络防盗系统组成,当需要断电断油时,由授权方通过GSM短信平台指令断电断油,防盗系统继电器切断点火电路或油路。
但是,远程web系统同样可以绕过短信授权机制,可远程断开,恢复油电!
貌似听说车辆被断油断电后车辆无法打火?有没有遇到过这样问题的朋友呢?
第一,不安全。安装断油断电的设备,意味着多了一个故障点。万一在自己正常驾驶时,出现断油断电,很有可能造成安全事故。
第二,既然安装了GPS定位设备,就算车辆被盗情况发生,也可以实时追查位置,报警之后相信很快可以追踪到车辆。不用通过断油断电来控制车辆。
价值与否,请车友们,洞友们评价!!
详细说明:
断油断电,是在GPS激烈的竞争中的产物,确实没有关键的意义,但不会在己正常驾驶时,出现断油断电,因为这是要继电器吸合的,设计时,没有短信指令永远不会吸合,出现故障,就更不会吸合。
有时候,是需要断油断电的,比如正好看见车辆被开走,你不能看到车辆最后追回时变得面目全非了吧?又比如货车上有货物,你不能看着一车货物被开走,最后只找到车吧?又如人质被开走,车可以找到,但绑匪和人质找不到了,你必需在现场制止后果发生等等。
又有时,盗抢车人发现没电没油了,会弃车而去。
第一,不安全。安装断油断电的设备,意味着多了一个故障点。万一在自己正常驾驶时,出现断油断电,很有可能造成安全事故。
第二,既然安装了GPS定位设备,就算车辆被盗情况发生,也可以实时追查位置,报警之后相信很快可以追踪到车辆。不用通过断油断电来控制车辆。
具体更多关于gps断油断电功能请移驾
漏洞证明:
修复方案:
囧,貌似国内还木有提到过这方面的问题吧
以前发的那个,没怎么细看。
这个希望能够成为典型的案例。
太过于依赖GPS容易出现安全事故!
请车友们谨慎驾驶,谨慎驾驶!!
版权声明:转载请注明来源 zeracker@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2012-06-14 17:37
厂商回复:
在zeracker同学的帮助下,确认所述情况,不过未能确认目标系统所属单位,暂未纳入处置流程。
至14日测试,高权限用户已经被禁用。参照此前约定的同类漏洞评分原则,rank 10。
最新状态:
暂无