漏洞概況

一家大型汽車制造商的在線系統存在安全漏洞，可能導致客戶數據泄露，并允許攻擊者遠程訪問車輛。該漏洞由安全研究員Eaton Zveare發現，他已于2025年2月向涉事車企報告并促使漏洞修復。Zveare雖未公開車企名稱，但透露這是在美國擁有超過1000家經銷商的知名品牌。

漏洞細節

該漏洞存在于車企經銷商使用的在線門戶中。Zveare通過修改門戶代碼繞過登錄安全機制，成功創建"國家級管理員"賬戶，由此獲得數千名客戶的個人信息、財務數據和車輛信息的完全訪問權限。

更嚴重的是，攻擊者僅需通過擋風玻璃上可見的車輛識別號（VIN）即可查詢車主姓名，甚至能遠程控制車門解鎖等功能。雖然未驗證是否可開走車輛，但該漏洞極易被不法分子利用。

潛在危害

經銷商門戶不僅泄露客戶信息，Zveare獲取的管理權限還可查看所有經銷商財務數據，實時追蹤租賃車輛位置。他警告稱，由于存在用戶冒充和多系統訪問能力，這些安全缺陷堪稱"即將爆發的安全噩夢"。

網絡安全公司Malwarebytes指出，此類漏洞會助長跟蹤騷擾行為。Zveare在Defcon安全會議上披露，涉事企業用約一周時間修復了漏洞。他向TechCrunch表示，核心問題在于簡單的身份驗證缺陷："如果連這些都出錯，整個系統就會崩潰。"

防護建議

• 優先使用手機導航應用（如Google Maps），而非車載導航系統
• 避免在車載導航中保存常用地址
• 定期更新車載軟件以獲取最新安全防護
• 檢查遠程控制應用，確保無陌生設備接入賬戶