|
|
51CTO旗下网站
|
|
移动端

奔驰车载逻辑单元源代码遭泄露

上周,梅德赛斯-奔驰中安装的“智能汽车”组件源代码被泄露在网上。研究人员发现奔驰品牌所属主体戴姆勒股份公司 (Daimler AG) 的一个 Git web 门户。他指出,自己能够在戴姆勒的代码托管门户上注册一个账户,之后下载包含车载逻辑单元 (OLUs) 源代码的580多个 Git 仓库。

作者:GDCA数安时代来源:今日头条|2020-05-22 18:12

上周,梅德赛斯-奔驰中安装的“智能汽车”组件源代码被泄露在网上。

研究人员发现奔驰品牌所属主体戴姆勒股份公司 (Daimler AG) 的一个 Git web 门户。他指出,自己能够在戴姆勒的代码托管门户上注册一个账户,之后下载包含车载逻辑单元 (OLUs) 源代码的580多个 Git 仓库。

OLU 简介

从戴姆勒网站上获悉,OLU 是一个组件,位于车辆的硬件和软件之间,“连接车辆和云端”。

网站指出,OLU“简化了对实时车辆数据的技术访问和管理”,并可使第三方开发人员创建能够从奔驰车检索数据的 app。这些 app 通常用于实现多种功能,如追踪正在行驶的汽车、追踪汽车的内部状况或在出现偷盗情况时冻结汽车。

不安全的 GitLab 安装程序泄露 OLU 源代码

研究人员表示,他使用了简单如 Google dorks(专门的谷歌搜索查询)的方法找到了戴姆勒的 GitLab 服务器。GitLab 是一款基于 web 的软件包,供企业用于集中处理 Git 仓库工作。Git 是一款专门用来追踪源代码变化的软件,可使多人工程团队编写代码,之后同步给一台中央服务器——在本案例中同步给戴姆勒基于 GitLab 的 web 门户。

研究人员表示,戴姆勒公司未能正确实现账户确认流程,从而导致他可以使用一个不存在的戴姆勒企业邮箱在该公司的官方 GitLab 服务器上注册账户。该研究员表示从该公司的服务器中下载了580个 Git 仓库,并在上周末将其公开,在多个位置上传,如文件托管服务 MEGA、Internet Archive 和他自己的 GitLab 服务器。

研究人员查看了其中一些遭泄露的 Git 仓库,结果发现所查看的文件中均未包含任何开源许可,表明这是并不打算公开的专有代码信息。

被泄露项目不仅包括奔驰 OLU 组件的源代码,而且还包括 Raspberry Pi 镜像、服务器镜像、用于管理远程 OLUs 的内部戴姆勒组件、内部文档、代码样本等等的源代码。

虽然刚开始这些源代码泄露看似无害,但威胁情报公司 Under the Breach 查看该数据后认为,他们发现了戴姆勒内部系统的密码和 API 令牌。这些密码和访问令牌如落入不法之徒手中可被用于攻击戴姆勒云和内部网络。

戴姆勒公司收到通知后撤掉研究人员用于下载该数据的 GitLab 服务器。该公司的一名发言人并未给出正式评论。

无论是对于开发人员亦或是拥有源代码的企业源代码都是他们极其珍贵的财务,稍有闪失将是不可想象的损失,GDCA数安时代建议个人开发者及源代码开发企业都应为源代码做好基础的安全保护措施。

代码签名证书对开发商在所有平台上使用并对其发布在网络上的应用软件和软件进行数字签名。代码签名可以提供和客户购买的压缩软件同样的安全性,包括发布者的名称,以及避免恶意软件入侵和其他危害。代码签名证书使用特殊的数字签名对发布者的身份和软件进行绑定。伴随着未签名代码一同出现的安全警告被含有软件发布者信息的通知所代替,从而避免用户放弃安装并增加下载率,代码签名会为安装过程增加信用度。

【编辑推荐】

  1. 4类危险的密码设置盲区,不要踩雷
  2. 一张图告诉你为什么HTTPS是安全的
  3. 新的安全漏洞让攻击者伪造出可信的蓝牙外设
  4. 两会盘点 | 聚焦网络安全,大佬们带来了哪些提案?
  5. 提供完整数据安全产品线,美创科技完成1.5亿元新一轮融资
【责任编辑:华轩 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

思科交换网络安全指南

思科交换网络安全指南

安全才能无忧
共5章 | 思科小牛

27人订阅学习

云计算从入门到上瘾

云计算从入门到上瘾

传统IT工程师的转型
共26章 | 51CTO阿森

210人订阅学习

从头解锁Python运维

从头解锁Python运维

多维度详解
共19章 | 叱诧少帅

347人订阅学习

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微