知名车企门户漏洞或致攻击者远程解锁汽车并窃取数据

漏洞概况

一家大型汽车制造商的在线系统存在安全漏洞，可能导致客户数据泄露，并允许攻击者远程访问车辆。该漏洞由安全研究员Eaton Zveare发现，他已于2025年2月向涉事车企报告并促使漏洞修复。Zveare虽未公开车企名称，但透露这是在美国拥有超过1000家经销商的知名品牌。

漏洞细节

该漏洞存在于车企经销商使用的在线门户中。Zveare通过修改门户代码绕过登录安全机制，成功创建"国家级管理员"账户，由此获得数千名客户的个人信息、财务数据和车辆信息的完全访问权限。

更严重的是，攻击者仅需通过挡风玻璃上可见的车辆识别号（VIN）即可查询车主姓名，甚至能远程控制车门解锁等功能。虽然未验证是否可开走车辆，但该漏洞极易被不法分子利用。

潜在危害

经销商门户不仅泄露客户信息，Zveare获取的管理权限还可查看所有经销商财务数据，实时追踪租赁车辆位置。他警告称，由于存在用户冒充和多系统访问能力，这些安全缺陷堪称"即将爆发的安全噩梦"。

网络安全公司Malwarebytes指出，此类漏洞会助长跟踪骚扰行为。Zveare在Defcon安全会议上披露，涉事企业用约一周时间修复了漏洞。他向TechCrunch表示，核心问题在于简单的身份验证缺陷："如果连这些都出错，整个系统就会崩溃。"

防护建议

• 优先使用手机导航应用（如Google Maps），而非车载导航系统
• 避免在车载导航中保存常用地址
• 定期更新车载软件以获取最新安全防护
• 检查远程控制应用，确保无陌生设备接入账户