原標(biāo)題：寶馬ConnectedDrive存漏洞 可導(dǎo)致車(chē)輛被盜

　　據(jù)美國(guó)媒體Autoevolution近日?qǐng)?bào)道，寶馬ConnectedDrive門(mén)戶(hù)網(wǎng)站存在兩個(gè)“零日漏洞”，可能會(huì)被黑客用于操縱與多媒體設(shè)備相關(guān)的車(chē)載設(shè)置。

　　寶馬的ConnectedDrive服務(wù)是寶馬iDrive系統(tǒng)的一大功能，用戶(hù)可通過(guò)ConnectedDrive與網(wǎng)絡(luò)連接以獲取服務(wù)和其他駕駛輔助功能。一些寶馬車(chē)型甚至可以通過(guò)ConnectedDrive與用戶(hù)的手機(jī)連接，為用戶(hù)提供更多自定義選擇和設(shè)置管理。然而，據(jù)Softpedia網(wǎng)站報(bào)道，寶馬ConnectedDrive服務(wù)對(duì)應(yīng)的網(wǎng)頁(yè)瀏覽器似乎是安全鏈中最薄弱的一環(huán)。

　　漏洞實(shí)驗(yàn)室(Vulnerability Lab)的安全研究員本杰明 孔茨 梅杰里(Benjamin Kunz Mejri)已在寶馬ConnectedDrive門(mén)戶(hù)網(wǎng)站上發(fā)布了上述兩個(gè)“零日漏洞”。然而，5個(gè)月前寶馬就已知曉此事。

　　“零日漏洞”指的是尚未有修復(fù)方法或補(bǔ)丁的漏洞。也就是說(shuō)，目前仍沒(méi)有辦法修復(fù)這些漏洞。

　　其中，一個(gè)漏洞指的是用戶(hù)可獲取其他用戶(hù)的車(chē)輛識(shí)別號(hào)碼。利用車(chē)輛識(shí)別號(hào)碼，寶馬網(wǎng)站服務(wù)可對(duì)ConnectedDrive的設(shè)置數(shù)據(jù)進(jìn)行備份。如果有人在網(wǎng)站上改動(dòng)這些設(shè)置，車(chē)載設(shè)置及其所附帶應(yīng)用程序都會(huì)被改動(dòng)。該漏洞的安全風(fēng)險(xiǎn)在于，除了可以改變用戶(hù)的收音機(jī)預(yù)設(shè)，黑客還可以打開(kāi)用戶(hù)郵件、控制行車(chē)路線、鎖定或解鎖車(chē)輛。此外，黑客掌握用戶(hù)的行車(chē)路線后，便可知道用戶(hù)的停車(chē)地點(diǎn)，進(jìn)而可通過(guò)遠(yuǎn)程解鎖來(lái)偷盜車(chē)輛。

　　另外一個(gè)漏洞指的是網(wǎng)站賬戶(hù)密碼重置頁(yè)面存在跨網(wǎng)站腳本故障，可能導(dǎo)致網(wǎng)站釣魚(yú)攻擊和其他電腦安全問(wèn)題。

　　目前，寶馬尚未發(fā)表關(guān)于該問(wèn)題的任何評(píng)論。