据美国媒体Autoevolution近日报道，宝马ConnectedDrive门户网站存在两个“零日漏洞”，可能会被黑客用于操纵与多媒体设备相关的车载设置。

　　宝马的ConnectedDrive服务是宝马iDrive系统的一大功能，用户可通过ConnectedDrive与网络连接以获取服务和其他驾驶辅助功能。一些宝马车型甚至可以通过ConnectedDrive与用户的手机连接，为用户提供更多自定义选择和设置管理。然而，据Softpedia网站报道，宝马ConnectedDrive服务对应的网页浏览器似乎是安全链中最薄弱的一环。

　　漏洞实验室(Vulnerability Lab)的安全研究员本杰明 孔茨 梅杰里(Benjamin Kunz Mejri)已在宝马ConnectedDrive门户网站上发布了上述两个“零日漏洞”。然而，5个月前宝马就已知晓此事。

　　“零日漏洞”指的是尚未有修复方法或补丁的漏洞。也就是说，目前仍没有办法修复这些漏洞。

　　其中，一个漏洞指的是用户可获取其他用户的车辆识别号码。利用车辆识别号码，宝马网站服务可对ConnectedDrive的设置数据进行备份。如果有人在网站上改动这些设置，车载设置及其所附带应用程序都会被改动。该漏洞的安全风险在于，除了可以改变用户的收音机预设，黑客还可以打开用户邮件、控制行车路线、锁定或解锁车辆。此外，黑客掌握用户的行车路线后，便可知道用户的停车地点，进而可通过远程解锁来偷盗车辆。

　　另外一个漏洞指的是网站账户密码重置页面存在跨网站脚本故障，可能导致网站钓鱼攻击和其他电脑安全问题。

　　目前，宝马尚未发表关于该问题的任何评论。　　　　　

分享让更多人看到