CalAmp Corp.（CAMP）是一家总部位于美国加利福尼亚州尔湾市的物联网解决方供货商，为许多知名汽车防盗系统提供后台服务。最近有安全研究人员发现，一台由CalAmp运营的服务器存在配置错误问题，导致任何人都能够对数据库进行直接访问和修改，甚至允许用户账户和车辆被接管。

安全研究人员Vangelis Stykas和George Lavdanis在Viper SmartStart系统中寻找问题时发现了这个安全隐患，该系统允许用户直接通过他们的智能手机、智能手表或者手环远程启动、锁定、解锁或定位他们的车辆。

Viper SmartStart系统应用程序使用SSL连接，并且通过使用校验证书绑定（SSL pinning）来防止篡改。从这一点来说，该应用程序原本应该是很安全的，但研究人员发现它不仅仅连接到了mysmartstart[.]com域名，并且还连接到了一个第三方域名（colt.calamp [.]com）。

很显然这个域名归属于CalAmp公司，从网页内容来看，这个面板是一项被称为“Lender Outlook”服务的前端。该服务针对的是那些拥有多个Viper SmartStart系统子账户和大量车辆的公司，以便能够进行更系统的管理。研究人员使用Viper SmartStart系统应用程序的用户名和密码进行了登陆尝试，事实证明，这是可行的。

尽管域中所有的数据都得到了正确的保护，但所有的报告都是由另一台运行tibco jasperreports软件的服务器提供的。在删除了所有的参数后，研究人员发现尽管其用于登陆的用户账户权限有限，但可以对各种报告进行访问。

通过这台服务器不仅可以访问所有车辆的所有报告（包括位置历史记录），还可以访问包括带有用户名的数据源（尽管密码被屏蔽）。此外，服务器还允许复制和编辑现有报告，这意味着攻击者可以添加任意XSS来窃取信息。

研究人员还表示，只要知道了某位用户的旧密码，就能够Viper SmartStart系统应用程序进行密码修改，以完全接管用户账户。由于用户能够通过Viper SmartStart系统对自己的汽车进行多种操作，因此如果用户账户被接管，接下来被接管的可能就是用户的车辆。

研究人员在本月初向CalAmp报告了这个问题，该公司在收到报告后的10天内解决了这个错误。另外，他们还更新了自己的网站，让安全研究人员更容易地报告他们在CalAmp公司产品中发现的其他漏洞。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。