欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

奔驰智能汽车组件OLU源码泄露

e6e9fdb1a932f3282020-05-2230资讯

来自瑞士的软件工程师Till Kottmann发现了属于奔驰母公司戴姆勒(Daimler AG)的git web网关。然后注册了一个代码保存网关的账号,并下载了超过580个git库的内容,其中就含有奔驰汽车上安装的车载逻辑单元(onboard logic units,OLU)的源代码。

OLU

据戴姆勒网站介绍,OLU是位于汽车硬件和软件之间组件,可以将车辆与云端相连接。OLU简化了实时车辆数据的技术访问和管理,允许第三方开发者创建从奔驰车辆上提取数据的app。

这些app一般会被用来对路上的车辆进行追踪、记录车辆的内部状态、或者在车辆被盗时锁定车辆。

不安全的gitlab安装致代码泄露

GitLab是一个基于web的软件包,企业用它来集中处理Git存储库。Git是一种专门用于跟踪源代码修改的软件,允许多人编写代码,然后将代码同步到一个中央服务器。本例中中央服务器就是戴姆勒Gitlab的网页门户。

Kottmann称戴姆勒没有实现账号确认过程,这一过程本来是用来验证非公司的邮箱地址在公司的官方gitlab服务器上注册账号的。

Kottmann说他从戴姆勒的服务器上下载了超过580个git库,他将部分文件上传到了MEGA、Internet Archive和他自己的gitlab服务器上。

奔驰智能汽车组件OLU源码泄露  资讯 第1张

奔驰智能汽车组件OLU源码泄露  资讯 第2张

Kottmann的GitLab服务

ZDNet对泄露的git库进行了检查,发现这些文件都不含开源证书,也就是说都是不准备公开的专利信息。泄露的信息中包含Mercedes vans OLU组件的源代码、Raspberry Pi镜像、服务器镜像、管理远程OLU的Daimler组件、内部文档、代码实例等。

威胁情报公司Under the Breach称在泄露的文件中发现了Daimler内部系统的密码和API token。这些密码和access token可以为入侵Daimler的云和内部网络做准备。

事件进展

目前,戴姆勒公司的GitLab服务器已经无法访问,发言人也没有给出官方声明。

但Kottmann的行为仍存有争议,因为他在将代码公开之前并没有准备通知戴姆勒。但另一方面,Gitlab服务器允许任何人去注册账号,因此可以看作是一个开放的系统。从开放的系统注册账号、下载信息、再上传到网络似乎也没有什么问题

本文翻译自:https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/
在三星Android手机上从Fuzzing漏洞挖掘到RCE漏洞利用

我们进行了一些在三星Android手机上的安全性研究,这些研究证明了通过发送无用户交互的mms,可以从Fuzzing模糊测试到实现远程代码执行利用。 Google的Project Zero致力于挖掘0-day漏洞并破解各种产品,他们已经在三星的Android Skia图像处理库中发现一些堆溢出问题。 此漏洞由团队成员Mateusz Jurczyk发现的。此漏洞使恶意MMS能够触发远程代码执行,该漏洞是在图像处理中发生的,图像处理是在收到短信并且由Android的Skia库处理图像而没有用户交互时发生的。因此,接收到会触发导致图像处理中堆溢出的恶意映像,将导致远程执行代码。 0x01  Fuzzing 该漏洞是使用AFL发现的,该fuzzer已用于在多个大型软件项目中挖掘各种漏洞,例如 Apache,Perl,iOS Kernel,OpenBSD,VLC,clang,putty,firefox等等。