行业动态 | 奔驰OLU源代码遭泄露

来源:公众号“汽车信息安全”
2020-05-25
1894

    

    据外媒ZDNet报道,梅赛德斯-奔驰汽车上安装的“智能汽车”零部件源代码上周末在网上泄露。

    而在泄密事件发生之前,瑞士的软件工程师 Kottmann 发现了一个属于戴姆勒公司(Daimler AG)的Git门户网站。戴姆勒是一家德国汽车公司,旗下拥有梅赛德斯-奔驰汽车品牌。

    Kottmann透露,他可以在戴姆勒的代码托管门户上注册一个帐户然后下载580多个Git存储库,其中包含了梅赛德斯奔驰汽车上安装的车载逻辑单元(OLU)的源代码。

1.什么是OLU?

根据戴姆勒网站的数据,OLU是位于汽车硬件和软件之间的组件,并且“将汽车连接到云端”。

戴姆勒表示,OLU“简化了对实车数据的技术访问和管理”,并允许第三方开发人员创建可从梅赛德斯货车检索数据的应用程序。

这些应用程序通常用于跟踪货车在路上的情况、跟踪货车的内部状态或用于冷冻货车以防盗窃情况发生。

2.不安全的GitLab安装泄漏了OLU代码

Kottmann说到,他发现戴姆勒的GitLab服务器使用了一些简单的东西如Google dorks(专门的Google搜索查询)。

GitLab是一个基于web的软件包,各大公司用它来集中处理Git存储库。

Git是一种专门用于跟踪源代码更改的软件,它允许多人工程团队编写代码,然后将代码同步到一个中央服务器--在本例中则是戴姆勒基于Gitlab的网页门户。

Kottmann表示:“当我感到无聊的时候,我经常会寻找有趣的GitLab实例,大多数情况下都是使用简单的Google dork,对于几乎没有考虑到安全设置这件事一直让我感到惊讶。”

Kottman表示,戴姆勒未能实施账户确认流程,而这使其能使用一个不存在的戴姆勒公司电子邮件在公司的官方GitLab服务器上注册一个账户。

这位研究人员称,他从公司的服务器上下载了超580个Git存储库,他计划在周末将其公开并将文件上传到文件托管服务MEGA、Internet Archive和他自己的GitLab服务器等几个地方。

Kottmann在其中发布了与戴姆勒数据的链接的Telegram频道

图片来自:ZDNet


托管戴姆勒数据的Kottmann自己的GitLab服务器的图像

图片来自:ZDNet


针对这一情况,通过审查一些泄漏的Git存储库。他们查看的文件中没有一个包含开源许可,这表明这这些文件都是不应该公开的私有信息。

泄露的项目包括梅赛德斯厢式货车OLU组件的源代码,另外还有树莓派图像、服务器图像、用于管理远程OLU的戴姆勒内部组件、内部文档、代码样本等等。

虽然一开始泄露的数据看起来无害,但负责审查数据的威胁情报公司表示,他们发现了戴姆勒内部系统的密码和API令牌。如果这些密码和访问令牌落到一些怀有坏心思的人手中则可能会被用来计划和发动针对戴姆勒云计算和内部网络的入侵。

通过与戴姆勒公司取得联系,该公司已经从GitLab服务器下载了这些数据。不过戴姆勒发言人没有回复记者的正式置评请求。

Kottmann告诉记者,他打算把戴姆勒的源代码留在网上,直到该公司要求他删除源代码。

然而,关于Kottmann行为的合法性仍存在一些疑问,因为他没有在周末在线发布源代码之前试图通知公司。

而另一方面,GitLab服务器允许任何人注册一个帐户,有些人可能会将其解释为一个开放的系统。此外,ZDNet在今日早些时候审查的源代码并没有出现这是专用技术的警告。


参考链接:

https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/ 




END




主   编:杨文昌 @Vincent Yang
主理人:李   强 @Keellee


收藏
点赞
2000