一名安全研究人员表示,某家汽车制造商的线上经销商入口存在漏洞,导致客户的个人信息与车辆数据外流,甚至可能让黑客远程入侵并解锁该品牌旗下任何一辆汽车。
软件交付公司Harness担任安全研究员的Eaton Zveare向《TechCrunch》表示,他发现的漏洞可创建一个“不受限制的”管理员账号,进而进入这家未具名汽车制造商的集中式网络入口。通过这项权限,恶意黑客能查看客户的个人与财务数据、关注车辆,甚至替客户激活远程控制汽车部分功能的服务。
Zveare表示,他不打算透露该厂商名称,但指出这是一家知名度很高的车厂,旗下拥有数个受欢迎的子品牌。他在今年稍早以周末项目的方式发现该漏洞,并透露虽然入口的登录系统漏洞不易寻找,但一旦锁定就能完全绕过登录机制,创建新的“全国管理员”账号。问题在于该入口的登录页面会在用户的浏览器中加载含有漏洞的程序代码,使用户可直接修改程序代码来绕过安全检查。
Zveare表示,该车厂未发现过去有任何恶意利用的迹象,显示他可能是第一位发现并回应漏洞的人。通过该账号,他能访问遍及美国超过1,000家经销商的数据,包括财务状况、客户名单等敏感资讯。他还发现一个“全国消费者查询工具”,可让登录用户查询车辆与驾驶数据,例如,他曾在停车场通过挡风玻璃上的车辆识别码(VIN)查出车主身份,甚至仅凭客户的名字也可进行查询。
他进一步指出,拥有此权限还能将任何车辆与行动账号配对,让用户(或黑客)通过应用程序远程解锁车辆。他在友人同意下测试了此功能,发现系统仅需账号转移者“声明”身份正当性即可完成,并不会进一步验证。虽然他没有测试是否能直接开走车辆,但认为此漏洞可能被窃贼利用来入侵并窃取车内物品。
另一个问题是,该入口与其他经销商系统通过单一登录(SSO)相互串联,使管理员账号可“模拟”其他用户身份进入系统,而不必知道对方的登录凭证。Zveare指出,这与2023年在丰田经销商入口中发现的漏洞相似,是潜在的重大安全隐患。
他表示,在系统中还能看到可识别身份的客户数据、部分财务资讯,以及可即时关注租赁车、代步车与跨州运输车辆位置的远程遥测系统,甚至具备取消运输的选项(但他未测试)。据悉,该车厂在2025年2月于接获通报后约一周内完成修补。Zveare强调,只需要两个简单的API漏洞就能打开所有大门,而这总是与验证机制有关。如果验证做错了,整个系统就会全面崩溃。
(首图来源:shutterstock)
