上周，梅德賽斯-奔馳中安裝的“智能汽車”組件源代碼被泄露在網上。

研究人員發現奔馳品牌所屬主體戴姆勒股份公司 (Daimler AG) 的一個 Git web 門戶。他指出，自己能夠在戴姆勒的代碼托管門戶上注冊一個賬戶，之后下載包含車載邏輯單元 (OLUs) 源代碼的580多個 Git 倉庫。

[[327278]]

OLU 簡介

從戴姆勒網站上獲悉，OLU 是一個組件，位于車輛的硬件和軟件之間，“連接車輛和云端”。

網站指出，OLU“簡化了對實時車輛數據的技術訪問和管理”，并可使第三方開發人員創建能夠從奔馳車檢索數據的 app。這些 app 通常用于實現多種功能，如追蹤正在行駛的汽車、追蹤汽車的內部狀況或在出現偷盜情況時凍結汽車。

不安全的 GitLab 安裝程序泄露 OLU 源代碼

研究人員表示，他使用了簡單如 Google dorks(專門的谷歌搜索查詢)的方法找到了戴姆勒的 GitLab 服務器。GitLab 是一款基于 web 的軟件包，供企業用于集中處理 Git 倉庫工作。Git 是一款專門用來追蹤源代碼變化的軟件，可使多人工程團隊編寫代碼，之后同步給一臺中央服務器——在本案例中同步給戴姆勒基于 GitLab 的 web 門戶。

研究人員表示，戴姆勒公司未能正確實現賬戶確認流程，從而導致他可以使用一個不存在的戴姆勒企業郵箱在該公司的官方 GitLab 服務器上注冊賬戶。該研究員表示從該公司的服務器中下載了580個 Git 倉庫，并在上周末將其公開，在多個位置上傳，如文件托管服務 MEGA、Internet Archive 和他自己的 GitLab 服務器。

研究人員查看了其中一些遭泄露的 Git 倉庫，結果發現所查看的文件中均未包含任何開源許可，表明這是并不打算公開的專有代碼信息。

被泄露項目不僅包括奔馳 OLU 組件的源代碼，而且還包括 Raspberry Pi 鏡像、服務器鏡像、用于管理遠程 OLUs 的內部戴姆勒組件、內部文檔、代碼樣本等等的源代碼。

雖然剛開始這些源代碼泄露看似無害，但威脅情報公司 Under the Breach 查看該數據后認為，他們發現了戴姆勒內部系統的密碼和 API 令牌。這些密碼和訪問令牌如落入不法之徒手中可被用于攻擊戴姆勒云和內部網絡。

戴姆勒公司收到通知后撤掉研究人員用于下載該數據的 GitLab 服務器。該公司的一名發言人并未給出正式評論。

無論是對于開發人員亦或是擁有源代碼的企業源代碼都是他們極其珍貴的財務，稍有閃失將是不可想象的損失，GDCA數安時代建議個人開發者及源代碼開發企業都應為源代碼做好基礎的安全保護措施。

代碼簽名證書對開發商在所有平臺上使用并對其發布在網絡上的應用軟件和軟件進行數字簽名。代碼簽名可以提供和客戶購買的壓縮軟件同樣的安全性，包括發布者的名稱，以及避免惡意軟件入侵和其他危害。代碼簽名證書使用特殊的數字簽名對發布者的身份和軟件進行綁定。伴隨著未簽名代碼一同出現的安全警告被含有軟件發布者信息的通知所代替，從而避免用戶放棄安裝并增加下載率，代碼簽名會為安裝過程增加信用度。