黑客可远程解锁汽车 汽车厂商门户安全漏洞曝光

安全研究员Eaton Zveare披露，一家知名汽车制造商的经销商在线门户存在严重漏洞，可被恶意黑客利用创建“全国管理员”账号，获取逾千家经销商系统的完全访问权限，进而查看客户个人及财务信息、追踪车辆位置，甚至将任意车辆绑定到移动账户以远程解锁。漏洞源于登录页面的代码缺陷，可在用户浏览器中被篡改绕过认证。研究表明，仅凭客户姓名或车架号即可精准查询车主信息，并可能滥用单点登录与用户冒充功能访问其他关联系统。Zveare在Def Con大会前表示，该漏洞虽已于今年2月在其报告后修复，但暴露了汽车经销系统在身份认证与访问控制上的严重短板，一旦被不法分子利用，可能引发大规模隐私泄露与车辆安全风险。