车辆跟踪系统LoJack的认证系统API存在漏洞,可以被利用实时跟踪汽车

luochicun 漏洞 2019年8月31日发布
Favorite收藏

导语:要说智能追踪器可能最著名的就是LoJack了,lojack是一款防盗/寻回软件,类似于GPS,但性能要高于GPS,可以24小时追踪巡逻队伍,24小时直属监控中心,多重追踪技术,隐蔽式追踪装置,防干扰追踪装置,在货柜大厦设置地牢内依然正常工作。

track-car-app.png

许多人认为只要汽车上安装了智能追踪器,即使在被盗的情况下,也可以跟踪并找到汽车。

要说智能追踪器可能最著名的就是LoJack了,lojack是一款防盗/寻回软件,类似于GPS,但性能要高于GPS,可以24小时追踪巡逻队伍,24小时直属监控中心,多重追踪技术,隐蔽式追踪装置,防干扰追踪装置,在货柜大厦设置地牢内依然正常工作。另外还有TrackStar和SmarTrack。这三个跟踪器都获得了英国Thatcham Research车辆安全和安全研究组织的认可。Thatcham Research团队是由许多保险公司设立的,旨在帮助推动车辆安全,而且这三个追踪器都通过了“S5”安全标准认证。

这三个跟踪器应用程序API都有授权漏洞,这将允许黑客接管帐户,实时跟踪汽车,关闭防盗警报(也可能被删除)并提取个人数据。如果防盗警报运行正常,小偷可能会停止其行动

Thatcham认证似乎只是关于设备功能的认证,而至于这些功能是否有效,则不属于验证的范围

LoJack或Tracker的作用

Tracker Touch 移动应用程序允许用户实时定位汽车,同时设置地理围栏。如果车辆被移动,则会触发短信和手机警报。

1.png

2.png

帐户接管

移动应用API允许用户更新其电子邮件地址,执行此操作的请求包含一个数字字段 – “ClientId” – 用于标识用户帐户。通过可以更改此ClientId并更改任何帐户的电子邮件地址,攻击者可以触发密码重置,把相关的电子邮件发送到自己的帐户,进而完全控制被盗车辆。这意味着,只有小偷会得到防盗警报的提示!

3.jpg

现在帐户既然已被盗用,则任何人都可以实时跟踪被盗车辆!

4.png

该漏洞是一种不安全的直接对象引用,其中之一是:

删除“地理围栏”警报

如果汽车被移动到指定区域(如街道)之外,则会触发潜在的防盗警报。

在'UnsubscribeIndividualAlert'的POST请求中也有一个类似的不安全的直接对象引用,允许在发出任何防盗警报时将其删除。

5.png

lojack10-1.png

或者你可以从网络应用程序执行此操作,因为帐户已被盗用:

6.jpg

TrackStar账户接管

TrackStar没有Tracker那么多的功能,目前研究人员只在TrackStar上发现了一个漏洞,但这已经足够了。此请求未检查用户是否已获得授权:

https://secure.eurowatchcentral.com/device_register.aspx?subscriber_rno=490xxx

‘Subscriber_rno’是一个增量编号,可让你访问所有用户的登录名、电话号码并允许你删除与该设备关联的所有设备。

此外,你还可以添加自己的设备,该设备可以为你提供移动应用程序的密码(永远不会改变),并让你在所有的汽车上都能使用完整的手机应用程序。

然后,你可以添加和删除地理围栏,定位汽车,实时跟踪用户等,就像Tracker一样。

以下是一辆本文作者的车的跟踪示例:

7.png

SmarTrack

与TrackStar一样,SmarTrack移动应用程序没有那么多功能,但仍然可以提供车辆的跟踪和地理围栏。

8.png

删除地理围栏

这里有一个类似的不安全的直接对象引用,因此可以简单地删除地理围栏并且不会触发防盗漏洞。

9.png

授权检查不适用于此请求,因此地理围栏电子邮件警告将被关闭。就算车被盗了,也不会发出警报。

其实,这也是一个HTTP请求。

可能的SQL注入

远程信息处理API端点服务器(https://svr.gtp03.com/1)上的一条路径似乎托管了未正确处理的备份文件。就安全性而言,代码看起来有点初级,因为原始数据库请求没有经过过滤就被传递到底层数据库。

10.png

虽然这可能是对主站点的备份,但是我们相信攻击者可以绕过身份验证。由于我们不想未经许可就使用SQLi,因此该想法还未进行实际验证。

http://svr.gtp03.com/instant_immobilise/instant_immobilise_handler.php应该是一个呼叫中心,在警察或车主的要求下触发车辆制动。根据我们已经看到的情况,应该可以通过安装此跟踪器来固定每辆车。

为了证明这一点,我们发出命令来固定我们自己的车辆。

11.png

然后我们的车就不会被启动,触发防盗装置的过程不到1秒,解决此预警的唯一方法是物理卸载跟踪设备。具体过程,请看此视频。这很奇怪,为什么这个功能会出现在公共服务器上呢?

根据研究人员的推测,是LoJack和Tracker的API上出现了漏洞。

本文翻译自:https://www.pentestpartners.com/security-blog/lojackd-pwning-smart-vehicle-trackers/如若转载,请注明原文地址: https://www.4hou.com/vulnerable/20013.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论