《安联智库-网安周报》2022-12-04

安联智库WTX 2022-12-06 11:16:43

1、十年未被发现！现代汽车曝重大安全漏洞，黑客可远程解锁

据cybernews消息，现代汽车APP存在一个重大安全漏洞。利用这个漏洞，黑客可以远程解锁、启动汽车。更令业界感到惊讶的是，这个漏洞已经存在了10年之久，影响了自2012年生产的现代汽车。

这两个APP的名称是MyHyundai 和 MyGenesis，允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆，可进一步提升车主的使用体验。

根据网络安全研究人员Sam Curry在社交平台发文称，“我们注意到服务器不要求用户确认他们的电子邮件地址，此外还有一个非常松散的正则表达式，允许在您的电子邮件中使用控制字符。”

在深入研究绕过身份验证的可能方法后，Sam Curry和他的团队发现，在注册过程中，只需要在现有受害者电子邮件的末尾添加CRLF字符，攻击者就可以使用现有的电子邮件注册一个新帐户。而这个新帐户将获得一个JSON网络令牌 (JWT)，该令牌与服务器中的合法电子邮件相匹配，从而授予攻击者对目标车辆的访问权限。

有消息称，某些黑客团队也盯上了这个漏洞，甚至开发了一个python 脚本，只需要获取受害者的电子邮件地址，即可执行车辆上的所有命令，甚至接管车主的帐户。

2、Redis服务器被植入后门

被研究人员称之为Redigo的一种基于Go的新的恶意软件，它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。

CVE-2022-0543是Redis（远程字典服务器）软件中的一个关键漏洞，具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后，仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。

3、三星小米等厂商均受影响，谷歌披露威胁数百万安卓设备的高危漏洞

谷歌安卓合作伙伴漏洞计划（APVI）网站上的一个新帖子中，曝光了一个影响数百万安卓设备的安全漏洞。黑客利用该漏洞，就能够在三星、LG、小米等诸多 OEM 厂商品牌手机中植入恶意软件。而且这些恶意软件可以获得系统级别的最高权限。

这个安全漏洞的关键就是平台证书。谷歌员工和恶意软件逆向工程师卢卡兹・塞维尔斯基（Łukasz Siewierski）率先发现了这个证书问题，他表示这些证书或签名密钥决定了设备上安卓版本的合法性。供应商也使用这些证书来签署应用程序。

虽然安卓系统在安装时为每个应用程序分配了一个独特的用户 ID（UID），但共享签名密钥的应用程序也可以有一个共享的 UID，并可以访问对方的数据。而通过这种设计，与操作系统本身使用相同证书签署的应用程序也能获得同样的特权。而问题的关键是，部分 OEM 厂商的安卓平台证书泄露给了错误的人。这些证书现在被滥用于签署恶意应用程序，使其具有与安卓系统相同的权限。这些应用程序可以在受影响的设备上可以不和用户交互，直接获得系统级权限。因此安卓设备一旦感染，就能在用户不知情的情况下获取所有数据。

4、停用UEFI安全启动，宏碁多款电脑存在严重安全漏洞

11月29日消息，ESET恶意软件研究员Martin Smolar报告，宏碁某些笔记本电脑设备的驱动程序存在高危漏洞，可停用UEFI安全启动功能，导致攻击者在启动过程中部署恶意软件。

受影响的宏碁笔记本电脑型号共计有五款，包括宏碁Aspire A315-22、A115-21、A315-22G、Extensa EX215-21和EX215-21G。

宏碁回应称，该漏洞确实存在，目前已修复该漏洞，并提醒用户及时更新固件。用户可在官网下载BIOS更新，并在系统中手动部署。

暂无

<<美国警方采购汽车取证工具，可破解万款车型信息娱乐系统提取数据

十年未被发现！现代汽车曝重大安全漏洞，黑客可远程解锁>>