知名车企门户漏洞或致攻击者远程解锁汽车并窃取数据
漏洞概况
一家大型汽车制造商的在线系统存在安全漏洞,可能导致客户数据泄露,并允许攻击者远程访问车辆。该漏洞由安全研究员Eaton Zveare发现,他已于2025年2月向涉事车企报告并促使漏洞修复。Zveare虽未公开车企名称,但透露这是在美国拥有超过1000家经销商的知名品牌。
漏洞细节
该漏洞存在于车企经销商使用的在线门户中。Zveare通过修改门户代码绕过登录安全机制,成功创建"国家级管理员"账户,由此获得数千名客户的个人信息、财务数据和车辆信息的完全访问权限。
更严重的是,攻击者仅需通过挡风玻璃上可见的车辆识别号(VIN)即可查询车主姓名,甚至能远程控制车门解锁等功能。虽然未验证是否可开走车辆,但该漏洞极易被不法分子利用。
潜在危害
经销商门户不仅泄露客户信息,Zveare获取的管理权限还可查看所有经销商财务数据,实时追踪租赁车辆位置。他警告称,由于存在用户冒充和多系统访问能力,这些安全缺陷堪称"即将爆发的安全噩梦"。
网络安全公司Malwarebytes指出,此类漏洞会助长跟踪骚扰行为。Zveare在Defcon安全会议上披露,涉事企业用约一周时间修复了漏洞。他向TechCrunch表示,核心问题在于简单的身份验证缺陷:"如果连这些都出错,整个系统就会崩溃。"
防护建议
- 优先使用手机导航应用(如Google Maps),而非车载导航系统
- 避免在车载导航中保存常用地址
- 定期更新车载软件以获取最新安全防护
- 检查远程控制应用,确保无陌生设备接入账户