物联网厂商 CalAmp 服务器配置错误，黑客可盗窃数据，开车走人

宅客频道消息，据外媒美国时间 5 月 20 日报道，安全研究人员发现，CalAmp（一家为多个知名系统提供后端服务的公司）运营的一台服务器因为错误配置，黑客可借助该漏洞接入账号数据，甚至直接接管相关车辆。

发现该问题时，安全专家 Vangelis Stykas 和 George Lavdanis 正在搜寻 Viper SmartStart 系统中的安全漏洞，这是一款让用户能远程启动、锁闭、解锁或定位车辆的设备，有了它，用户只需操作手机中的应用就能直接完成上述操作。

与其他移动应用类似，这套系统用了 SSL 和证书锁定（Certificate Pinning，已知其服务器用上了硬编码）安全连接来自动拒绝那些提供虚假 SSL 认证连接的网站。

不过两位安全专家指出，该应用不但会连接到 mysmartstart.com 的域名，还会连接第三方域名（https://colt.calamp-ts.com/，即 Calamp.com Lender Outlook 服务）。只要使用 Viper 应用生成的用户凭证，谁都能登陆控制台。

“该控制台看起来是 Calamp.com Lender Outlook 服务的前端，我们试着用 Viper 生成的用户凭证登陆，居然成功了。”安全专家 Stykas 在一篇博文中写道。“显然，这是那些拥有多个子账户和大批车辆需要控制公司的控制台。”

进一步测试后，研究人员确认了一点，那就是这套系统的入口还是安全的。不过，在评估中他们却发现，各种报告其实是来自另一台专用服务器，它负责运行的是 tibco jasperreports 软件。

这还是两位专家第一次分析这种类型的服务器。移除所有参数后，他们发现，自己居然以用户身份登陆了，虽然权限受限，但已经可以接入许多报告了。

“我们不得不运行所有报告，并且发现前端根本就没有审核用户 ID，而是选择自动让其通过。不过，现在我们得从控制台提供 ID 作为输入项。当然，我们可以选择想要的任意数字。”

一番研究后他们发现，自己已经可以接入所有车辆的所有报告了（包括位置记录），而且只要知道了用户名，就能直接接入数据源（密码做了伪装处理，所以无法导出）。同时，借助服务器还能轻松复制和编辑现有报告。

“我们无法创建报告、AdHoc 无线网络或其它项目，不过我们能对现有内容进行复制粘贴和编辑，这也就意味着我们已经大权在握。此外，我们还能在报告中加入任意的 XSS 来窃取信息。当然，这是正派人士所不齿的。”上述专家说。

宅客频道了解到，掌握了服务器上的生产数据库后，研究人员就能通过移动应用接管用户账户。如果黑客知道了某账户的密码（老密码），就能直接定位车辆并开车走人。

两位专家指出，这一漏洞可能导致下列严重后果：

1. 黑客只需修改用户密码，就能直接解锁并开走车辆；

2. 拿到所有位置记录报告；

3. 在某人开车时直接关掉车辆引擎；

4. 远程操控开启引擎；

5. 拿到所有用户的数据；

6. 通过应用拿到总线信息；

7. 从连接数据库拿到 IoT 设备的数据或重设密码。这也就意味着黑客手中能掌握千万种可能。

据悉，两位专家本月月初就将问题反映给了 CalAmp，而后者在十天内就将问题彻底解决。

宅客频道 Via. Security Affairs

雷锋网宅客频道招人了！

招聘岗位：

网络安全编辑（采编岗）

工作内容：

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等；采访国内外网络安全研究人员，撰写原创报道，输出领域的深度观点；针对不同发布渠道，策划不同类型选题；参与打理宅客频道微信公众号等。

岗位要求：

对网络安全有兴趣，有相关知识储备或从业经历更佳；

科技媒体1-2年从业经验；

有独立采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；

国内出差可能不新鲜了，我们还可以硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各种前沿黑科技，掌握一手行业新闻、大小公司动向，甚至是黑客大大们的独家秘闻；

老司机编辑手把手带；

以及与你的能力相匹配的薪水。

坐标北京，简历投递至：liqin@leiphone.com

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 草榴社区 | 程序媛| 以图搜图 心脏滴血 | 撞库攻击 | 黑客猎人 刷票 | 人肉 | 炸群 | 内鬼 恶性病毒怼天怼地怼对手 真相篇 ▼ 这是一场针对高级知识分子的裸聊诈骗 打“农药”刷金币：我的队友原来是个机器人 黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人 iPhone充电器可以当监听器？我到某宝试了下 当俄罗斯黑客遇到老虎机 发家致富？ 一个自动挖掘工具，能找到比核武器更可怕的漏洞 “老婆，开门”，隔壁老王带来的恐惧 无人机越狱? 资深女黑客一怒“打飞机” 自从安了智能门锁，家里闹妖精？ 中国安全圈真实薪资曝光 人物篇 ▼ 道哥：重回阿里的29个月 黑客老王：一个人的黑客史 吴石：站在0和1之间的男人 黑客衰大：45天攻入姑娘的心 黑客段子手“呆子不开口” “特斯拉破解第一人”刘健皓 唐青昊：虚拟世界的越狱者 MOSEC：盘古团队的野心优雅 让周鸿祎“三顾茅庐” 的 黑客 MJ 美女黑客张婉桥的“爱丽丝奇遇记” TK教主和玄武实验室的几个小故事 世界上最坚固的门轰塌后，如何再建 这个黑客在体内植入9块芯片后…… 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注