咨询信息
- 咨询ID:raybet雷竞技ios下载博世- 2017 - 0201
- 发表:2017年4月13日
- 最后更新:2017年4月13日
- CVSSv3基础分数:
- 认证不当:6.3
- 允许白名单:6.5
总结
Argus Cyber Security在博世Drivelog连接器(OBD-II加密狗)和智能手机应用程序中发现了raybet雷竞技ios下载两个弱点。第一个问题会影响“Just Works”蓝牙配对和加密狗与智能手机应用程序之间的相互认证过程,在此过程中,攻击者可能会强行输入PIN并连接到加密狗。第二个问题是,恶意修改移动应用程序可能会允许不需要的CAN消息通过加密狗传输到车辆。重要的是要注意,潜在恶意攻击的可伸缩性受到这样一个事实的限制,即这种攻击需要在物理上接近加密狗。这意味着攻击设备需要在车辆的蓝牙范围内。
受影响的产品
Drivelog连接应用程序1.1.1及以下
软件狗固件版本4.8.0 ~ 4.9.2
解决方案
蓝牙通信中的不适当身份验证漏洞已通过激活两步验证来减轻,以便将其他用户注册到设备上。这已经在服务器上实现,所以用户不需要做任何操作。为了进一步提高认证过程的安全性,还将发布应用程序和加密狗固件更新。
随着不适当身份验证漏洞的缓解,成功利用第二个问题需要泄露用户信息。这种情况只会发生在恶意修改用户手机上的移动应用程序的情况下,即安装非BOSCH提供的恶意修改应用程序。raybet雷竞技ios下载
恶意修改的移动应用程序可能发送不需要的CAN消息的能力将通过对加密狗固件的更新来缓解,以进一步限制加密狗能够在CAN总线上放置的允许命令。
CVSSv3基础分数
认证错误漏洞:6.3
CVSS: 3.0 / AV: /交流:L /公关:N / UI: N / S: U / C: L /我:L / L
允许白名单漏洞:6.5
CVSS: 3.0 / AV: /交流:H /公关:L / UI: N / S: C / C: N /我:H / L
漏洞分类使用CVSSv3评分系统。CVSS环境评分针对每个客户的环境,应由客户定义以获得最终评分。
致谢
raybet雷竞技ios下载博世感谢阿格斯网络安全公司协调披露这些漏洞。
额外的资源
- 阿格斯网络安全新闻稿
- 阿格斯网络安全博客文章
- 有关博世产品和解决方案漏洞的进一步查询,请联系博世RB PSIRT:raybet雷竞技ios下载https://psirt.raybet雷竞技ios下载bosch.com
修订历史
2017年4月13日:首次出版