/ 安全研究

Honda Connect数据泄露的应对与反思

前言

Kromtech Security的专家发现两个属于印度本田汽车的Amazon AWS S3 Buckets未设安全策略,可访问其未受保护的数据库,其中涉及Honda Connect的应用数据,包含50000条以上的用户个人信息。

Honda Connect

Honda Connect(智导互联)是一款智能手机应用,本田夸口能够给用户带来真正的安全,满足用户的安全感。

其应用特性包括:定期服务警报,服务预订/编辑,反馈系统,附近经销商和燃油泵定位器,我的文档(用于存储汽车的重要文档),Fuel Log,SoS(一键式解决方案,让家人和朋友知道您的紧急情况下的确切位置),服务成本计算器,汽车日历(提醒保险更新,排放检查和其他信息),以及与连接设备 – 车辆健康状况监测,车辆定位(找到您的确切汽车位置),行程分析(包括路线驱动,停车制动,空闲时间信息,制动,速度,加速度等)。

从发现到响应

其中泄露的信息包括用户的姓名、密码、性别,还有用户和他们的受信任联系人号码和电子邮件地址。以及用户的汽车信息,包括VIN、Connect ID等。

file system

sql

Kromtech并没有率先发现这些Buckets,安全研究员
@Random_Robbie (Twitter) 在年初开始批量挖掘S3 Buckets安全问题,顺便发现了本田印度的漏洞,为了提醒官方修复这个漏洞,他留下名为poc.txt的文件,日期为2018年2月28日:

poc.txt

Kromtech很快就通知了本田汽车印度公司,等了有一段时间才得到回应,现在本田汽车印度公司已经修复了这些S3 Buckets的安全配置问题。

漏洞危害

在这种特殊情况下,泄露的信息允许攻击者能访问受害者在手机APP上的所有内容,具体而言可以获得这些信息:某人的汽车当前所在的位置,他们常去的地方(包括他们居住,工作,购物和娱乐的位置),驾驶特点,起始路线等。这可以让攻击者知道用户的日常活动,绘制出热点图,甚至驾驶人的驾驶行为指纹,这使得他们很容易跟踪某人。

并且其他个人数据为攻击者提供的信息,足以发起一场非常有针对性的钓鱼攻击。

预防措施

Amazon官方也早就提供了安全配置指南:Management Guide.

如果官方配置指南太难看懂,Kromtech也给出了安全配置的教程:Protect Your S3 Bucket.

早在2017年10月,Kromtech Security就开源了一款工具s3-inspector ,检查可公开访问的Amazon S3 Buckets。

s3-inspector

总结反思

GPDR(通用数据保护条例)生效没几天,就出现了影响严重的信息泄露事件,在欧洲,不合规的企业可能面临高达 2000 万欧元或 4% 年营业额的罚款。但这是在印度,不受GPDR的约束。

此次事件,正如前段时间某企业家口中的”中国人愿意用隐私换取便捷“,一方面企业对用户隐私不重视,另一方面企业对安全不重视。

其实就是S3 Buckets没有配置好,攻击门槛非常低。早在2017年下旬就闹得沸沸扬扬,现在又重新上演。安全配置引发的数据泄露可以认为是设计开发阶段的问题,日本对于汽车安全要求是非常严格的,IPA在09年就开始重视汽车安全并安排课题研究,在13年发布了「自動車の情報セキュリティへの取組みガイド」
(汽车信息安全指南),与国内白皮书所侧重的“管端云”安全不同,该指南阐述了从设计到销毁的整个产品生命周期的安全,对每一个阶段都做了L1到L4的安全等级划分,而在2017年推出的汽车信息安全指南第二版第4.3.5节就提到了开发的安全。

本田汽车公司也有严格的安全规范,在开发阶段就有安全介入。

这些安全问题去年就已经被广泛报道,并且本田公司对安全也非常重视,可是本田印度公司还是出现了安全事故,他们也没有注意到有人给他们的Buckets加了一条提醒信息。明显业务环境只是简单自动运行罢了,没有任何监控措施也没有人维护,这已经实锤。木桶理论在网联汽车安全上也非常适用,必须弥补短板。就算规范再完善,最终还是以人为核心,因为规则要靠人去实施才有意义。仅仅是安全事故的教训不足以让人们醒悟,企业也要适当给员工提供安全教育,要求严格准守安全规范,提高大家的安全意识。

参考链接

  1. KromTech: Honda Leaked Personal Infomation

  2. KromTech: S3-Inspector

  3. Github: S3-Inspector

  4. IPA: EMB Car

Honda Connect数据泄露的应对与反思
分享