聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

上周末，梅德赛斯-奔驰中安装的“智能汽车”组件源代码被泄露在网上。

瑞士软件工程师 Till Kottmann 发现奔驰品牌所属主体戴姆勒股份公司 (Daimler AG) 的一个 Git web 门户。他指出，自己能够在戴姆勒的代码托管门户上注册一个账户，之后下载包含车载逻辑单元 (OLUs) 源代码的580多个 Git 仓库。

OLU 简介

从戴姆勒网站上获悉，OLU 是一个组件，位于车辆的硬件和软件之间，“连接车辆和云端”。

网站指出，OLU“简化了对实时车辆数据的技术访问和管理”，并可使第三方开发人员创建能够从奔驰车检索数据的 app。这些 app 通常用于实现多种功能，如追踪正在行驶的汽车、追踪汽车的内部状况或在出现偷盗情况时冻结汽车。

不安全的 GitLab 安装程序泄露 OLU 源代码

Kottmann 表示，他使用了简单如 Google dorks（专门的谷歌搜索查询）的方法找到了戴姆勒的 GitLab 服务器。GitLab 是一款基于 web 的软件包，供企业用于集中处理 Git 仓库工作。Git 是一款专门用来追踪源代码变化的软件，可使多人工程团队编写代码，之后同步给一台中央服务器——在本案例中同步给戴姆勒基于 GitLab 的 web 门户。

Kottmann 表示，“我无聊时经常只会抓取一些有意思的 GitLab 实例，多数情况下仅仅使用简单的 Google dorks 即可。它们几乎不加任何思考的安全设置总是让我倍感惊讶。实话说，这次的抓取结果靠的是运气，当时我正在遍历之前没有检查过的一些品牌名称，希望能找到一些小型合同承包商等东西。”

Kottmann 表示，戴姆勒公司未能正确实现账户确认流程，从而导致他可以使用一个不存在的戴姆勒企业邮箱在该公司的官方 GitLab 服务器上注册账户。该研究员表示从该公司的服务器中下载了580个 Git 仓库，并在上周末将其公开，在多个位置上传，如文件托管服务 MEGA、Internet Archive 和他自己的 GitLab 服务器。

ZDNet 查看了其中一些遭泄露的 Git 仓库，结果发现所查看的文件中均未包含任何开源许可，表明这是并不打算公开的专有代码信息。

被泄露项目不仅包括奔驰 OLU 组件的源代码，而且还包括 Raspberry Pi 镜像、服务器镜像、用于管理远程 OLUs 的内部戴姆勒组件、内部文档、代码样本等等的源代码。

虽然刚开始这些源代码泄露看似无害，但威胁情报公司 Under the Breach 查看该数据后认为，他们发现了戴姆勒内部系统的密码和 API 令牌。这些密码和访问令牌如落入不法之徒手中可被用于攻击戴姆勒云和内部网络。

戴姆勒公司收到通知后撤掉 Kottmann 用于下载该数据的 GitLab 服务器。该公司的一名发言人并未给出正式评论。

Kottmann 表示，他打算等戴姆勒联系之后才撤掉暴露在互联网上的源代码。然而，他的这一做法是否合法还有待商榷，因为他并未在公开这些源代码前联系戴姆勒公司。从另一方面将，戴姆勒公司的 GitLab 服务器允许任何人注册账户，也就是说可以理解为一个开放系统。此外，ZDNet 之前查看的源代码中并不包含任何关于该专有技术的警告信息。

推荐阅读

GPU产品源代码被盗？AMD 证实称仅为测试文件

《应用软件安全编程指南》国标发布 奇安信代码卫士已全面支持

原文链接

https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ，加油鸭~