上周,梅德赛斯-奔驰中安装的“智能汽车”组件源代码被泄露在网上。
研究人员发现奔驰品牌所属主体戴姆勒股份公司 (Daimler AG) 的一个 Git web 门户。他指出,自己能够在戴姆勒的代码托管门户上注册一个账户,之后下载包含车载逻辑单元 (OLUs) 源代码的580多个 Git 仓库。
OLU 简介
从戴姆勒网站上获悉,OLU 是一个组件,位于车辆的硬件和软件之间,“连接车辆和云端”。
网站指出,OLU“简化了对实时车辆数据的技术访问和管理”,并可使第三方开发人员创建能够从奔驰车检索数据的 app。这些 app 通常用于实现多种功能,如追踪正在行驶的汽车、追踪汽车的内部状况或在出现偷盗情况时冻结汽车。
不安全的 GitLab 安装程序泄露 OLU 源代码
研究人员表示,他使用了简单如 Google dorks(专门的谷歌搜索查询)的方法找到了戴姆勒的 GitLab 服务器。GitLab 是一款基于 web 的软件包,供企业用于集中处理 Git 仓库工作。Git 是一款专门用来追踪源代码变化的软件,可使多人工程团队编写代码,之后同步给一台中央服务器——在本案例中同步给戴姆勒基于 GitLab 的 web 门户。
研究人员表示,戴姆勒公司未能正确实现账户确认流程,从而导致他可以使用一个不存在的戴姆勒企业邮箱在该公司的官方 GitLab 服务器上注册账户。该研究员表示从该公司的服务器中下载了580个 Git 仓库,并在上周末将其公开,在多个位置上传,如文件托管服务 MEGA、Internet Archive 和他自己的 GitLab 服务器。
研究人员查看了其中一些遭泄露的 Git 仓库,结果发现所查看的文件中均未包含任何开源许可,表明这是并不打算公开的专有代码信息。
被泄露项目不仅包括奔驰 OLU 组件的源代码,而且还包括 Raspberry Pi 镜像、服务器镜像、用于管理远程 OLUs 的内部戴姆勒组件、内部文档、代码样本等等的源代码。
虽然刚开始这些源代码泄露看似无害,但威胁情报公司 Under the Breach 查看该数据后认为,他们发现了戴姆勒内部系统的密码和 API 令牌。这些密码和访问令牌如落入不法之徒手中可被用于攻击戴姆勒云和内部网络。
戴姆勒公司收到通知后撤掉研究人员用于下载该数据的 GitLab 服务器。该公司的一名发言人并未给出正式评论。
无论是对于开发人员亦或是拥有源代码的企业源代码都是他们极其珍贵的财务,稍有闪失将是不可想象的损失,GDCA数安时代建议个人开发者及源代码开发企业都应为源代码做好基础的安全保护措施。
代码签名证书对开发商在所有平台上使用并对其发布在网络上的应用软件和软件进行数字签名。代码签名可以提供和客户购买的压缩软件同样的安全性,包括发布者的名称,以及避免恶意软件入侵和其他危害。代码签名证书使用特殊的数字签名对发布者的身份和软件进行绑定。伴随着未签名代码一同出现的安全警告被含有软件发布者信息的通知所代替,从而避免用户放弃安装并增加下载率,代码签名会为安装过程增加信用度。