原標(biāo)題：寶馬ConnectedDrive存漏洞 可導(dǎo)致車輛被盜

　　據(jù)美國媒體Autoevolution近日報道，寶馬ConnectedDrive門戶網(wǎng)站存在兩個“零日漏洞”，可能會被黑客用于操縱與多媒體設(shè)備相關(guān)的車載設(shè)置。

　　寶馬的ConnectedDrive服務(wù)是寶馬iDrive系統(tǒng)的一大功能，用戶可通過ConnectedDrive與網(wǎng)絡(luò)連接以獲取服務(wù)和其他駕駛輔助功能。一些寶馬車型甚至可以通過ConnectedDrive與用戶的手機(jī)連接，為用戶提供更多自定義選擇和設(shè)置管理。然而，據(jù)Softpedia網(wǎng)站報道，寶馬ConnectedDrive服務(wù)對應(yīng)的網(wǎng)頁瀏覽器似乎是安全鏈中最薄弱的一環(huán)。

　　漏洞實驗室(Vulnerability Lab)的安全研究員本杰明 孔茨 梅杰里(Benjamin Kunz Mejri)已在寶馬ConnectedDrive門戶網(wǎng)站上發(fā)布了上述兩個“零日漏洞”。然而，5個月前寶馬就已知曉此事。

　　“零日漏洞”指的是尚未有修復(fù)方法或補丁的漏洞。也就是說，目前仍沒有辦法修復(fù)這些漏洞。

　　其中，一個漏洞指的是用戶可獲取其他用戶的車輛識別號碼。利用車輛識別號碼，寶馬網(wǎng)站服務(wù)可對ConnectedDrive的設(shè)置數(shù)據(jù)進(jìn)行備份。如果有人在網(wǎng)站上改動這些設(shè)置，車載設(shè)置及其所附帶應(yīng)用程序都會被改動。該漏洞的安全風(fēng)險在于，除了可以改變用戶的收音機(jī)預(yù)設(shè)，黑客還可以打開用戶郵件、控制行車路線、鎖定或解鎖車輛。此外，黑客掌握用戶的行車路線后，便可知道用戶的停車地點，進(jìn)而可通過遠(yuǎn)程解鎖來偷盜車輛。

　　另外一個漏洞指的是網(wǎng)站賬戶密碼重置頁面存在跨網(wǎng)站腳本故障，可能導(dǎo)致網(wǎng)站釣魚攻擊和其他電腦安全問題。

　　目前，寶馬尚未發(fā)表關(guān)于該問題的任何評論。