Recientemente, el investigador de seguridad Benjamin Kunz Mejri de Vulnerability-Lab ha revelado una serie de vulnerabilidades 0-Day que residen en el dominio del sitio web oficial de BMW y en el portal de ConnectedDrive. Las vulnerabilidades permanecen sin parchear y totalmente abiertas a cualquier atacante.
VIN es un código único para identificar modelos de vehículos individuales conectados al servicio.
La primera es una vulnerabilidad en el manejo de sesión de VIN (Vehicle Identification Number) que reside en la aplicación oficial de BMW ConnectedDrive. Este es un sistema de información y entretenimiento que ofrece una amplia gama de servicios inteligentes y aplicaciones que proporcionan información y entretenimiento durante el viaje, así como permite recibir-leer-responder correos electrónicos, administrar dispositivos conectados, ayuda a regular el sistema de calefacción, las luces y la alarma y permite obtener información del tráfico en vivo.
La falla en la gestión de la sesión VIN podría permitir a intrusos eludir los procedimientos de validación segura del VIN mediante una sesión. Podría ser aprovechada por un atacante con una cuenta de usuario con privilegios bajos y ninguna interacción del usuario.
El segundo defecto es una vulnerabilidad de Cross-site Scripting que reside en la aplicación web oficial de BMW y que permitiría restablecer la contraseña del sistema.
La empresa informó de los errores al fabricante en febrero de este año y BMW respondió después de dos meses. Puesto que no había ningún anuncio de la compañía sobre las soluciones a estos problemas, el investigador lo hizo público el 7 de julio.
Fuente: The Hacker News
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!