一名資安研究人員表示,某家汽車製造商的線上經銷商入口存在漏洞,導致客戶的個資與車輛資料外洩,甚至可能讓駭客遠端入侵並解鎖該品牌旗下任何一輛汽車。
軟體交付公司 Harness 擔任資安研究員的 Eaton Zveare 向《TechCrunch》表示,他發現的漏洞可建立一個「不受限制的」管理員帳號,進而進入這家未具名汽車製造商的集中式網路入口。透過這項權限,惡意駭客能查看客戶的個人與財務資料、追蹤車輛,甚至替客戶啟用遠端控制汽車部分功能的服務。
Zveare 表示,他不打算透露該廠商名稱,但指出這是一家知名度很高的車廠,旗下擁有數個受歡迎的子品牌。他在今年稍早以週末專案的方式發現該漏洞,並透露雖然入口的登入系統漏洞不易尋找,但一旦鎖定就能完全繞過登入機制,建立新的「全國管理員」帳號。問題在於該入口的登入頁面會在使用者的瀏覽器中載入含有漏洞的程式碼,使使用者可直接修改程式碼來繞過安全檢查。
Zveare 表示,該車廠未發現過去有任何惡意利用的跡象,顯示他可能是第一位發現並回報漏洞的人。透過該帳號,他能存取遍及美國超過 1,000 家經銷商的資料,包括財務狀況、客戶名單等敏感資訊。他還發現一個「全國消費者查詢工具」,可讓登入使用者查詢車輛與駕駛數據,例如,他曾在停車場透過擋風玻璃上的車輛識別碼(VIN)查出車主身分,甚至僅憑客戶的名字也可進行查詢。
他進一步指出,擁有此權限還能將任何車輛與行動帳號配對,讓用戶(或駭客)透過應用程式遠端解鎖車輛。他在友人同意下測試了此功能,發現系統僅需帳號轉移者「聲明」身份正當性即可完成,並不會進一步驗證。雖然他沒有測試是否能直接開走車輛,但認為此漏洞可能被竊賊利用來入侵並竊取車內物品。
另一個問題是,該入口與其他經銷商系統透過單一登入(SSO)相互串連,使管理員帳號可「模擬」其他用戶身分進入系統,而不必知道對方的登入憑證。Zveare 指出,這與 2023 年在豐田經銷商入口中發現的漏洞相似,是潛在的重大安全隱患。
他表示,在系統中還能看到可辨識身分的客戶資料、部分財務資訊,以及可即時追蹤租賃車、代步車與跨州運輸車輛位置的遠端遙測系統,甚至具備取消運輸的選項(但他未測試)。據悉,該車廠在 2025 年 2 月於接獲通報後約一週內完成修補。Zveare 強調,只需要兩個簡單的 API 漏洞就能打開所有大門,而這總是與驗證機制有關。如果驗證做錯了,整個系統就會全面崩潰。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
