原標題：寶馬ConnectedDrive存漏洞 可導致車輛被盜

　　據(jù)美國媒體Autoevolution近日報道，寶馬ConnectedDrive門戶網(wǎng)站存在兩個“零日漏洞”，可能會被黑客用于操縱與多媒體設備相關的車載設置。

　　寶馬的ConnectedDrive服務是寶馬iDrive系統(tǒng)的一大功能，用戶可通過ConnectedDrive與網(wǎng)絡連接以獲取服務和其他駕駛輔助功能。一些寶馬車型甚至可以通過ConnectedDrive與用戶的手機連接，為用戶提供更多自定義選擇和設置管理。然而，據(jù)Softpedia網(wǎng)站報道，寶馬ConnectedDrive服務對應的網(wǎng)頁瀏覽器似乎是安全鏈中最薄弱的一環(huán)。

　　漏洞實驗室(Vulnerability Lab)的安全研究員本杰明 孔茨 梅杰里(Benjamin Kunz Mejri)已在寶馬ConnectedDrive門戶網(wǎng)站上發(fā)布了上述兩個“零日漏洞”。然而，5個月前寶馬就已知曉此事。

　　“零日漏洞”指的是尚未有修復方法或補丁的漏洞。也就是說，目前仍沒有辦法修復這些漏洞。

　　其中，一個漏洞指的是用戶可獲取其他用戶的車輛識別號碼。利用車輛識別號碼，寶馬網(wǎng)站服務可對ConnectedDrive的設置數(shù)據(jù)進行備份。如果有人在網(wǎng)站上改動這些設置，車載設置及其所附帶應用程序都會被改動。該漏洞的安全風險在于，除了可以改變用戶的收音機預設，黑客還可以打開用戶郵件、控制行車路線、鎖定或解鎖車輛。此外，黑客掌握用戶的行車路線后，便可知道用戶的停車地點，進而可通過遠程解鎖來偷盜車輛。

　　另外一個漏洞指的是網(wǎng)站賬戶密碼重置頁面存在跨網(wǎng)站腳本故障，可能導致網(wǎng)站釣魚攻擊和其他電腦安全問題。

　　目前，寶馬尚未發(fā)表關于該問題的任何評論。