详细内容或原文请订阅后点击阅览
在线门户裸露的汽车和个人数据,允许任何人远程解锁汽车
已经发现,一家汽车制造商可以通过其经销店门户网站泄露车辆数据和客户信息。
来源:Malwarebytes Labs 博客一家汽车制造商的在线经销商门户网站已泄漏其客户的私人信息和车辆数据。这也意味着任何具有访问权限的人都可以远程闯入汽车。
研究人员伊顿·泽维尔(Eaton Zveare)与TechCrunch分享了他的发现。尽管他说他选择不透露供应商的名字,但他透露,这是一家著名的汽车制造商,在美国各地拥有几家受欢迎的子品牌和1000多家经销商。
TechCrunchZveare说,找到缺陷并不容易,但是一旦他这样做,就可以在门户网站的登录页面上修改代码,以便他可以绕过登录安全检查。这使他能够创建一个新的国家管理员帐户。
这不仅使他能够访问这些经销商的所有数据,而且还找到了一个国家消费者查找工具,该工具允许任何登录的门户网站用户查找该汽车制造商的车辆和驾驶员数据。
现实生活测试了解到,从汽车的挡风玻璃上拿走车辆的唯一标识号(VIN),可以访问门户网站的任何人查找所有者的名称。也可以将任何车辆与移动帐户配对,然后将其用于远程控制汽车功能,例如解锁车辆。
由于VIN或某人的名字和姓氏都足以找到并将帐户的所有权转移到一个由攻击者控制的帐户中,因此至少可以打开汽车并窃取里面的所有物品。研究人员没有测试他是否能够开车去。
正如我们之前所说,这正是联邦通信委员会(FCC)希望汽车制造商对缠扰者更加努力的事情,这并不容易。
Zveare将在Defcon提出他的发现。他向汽车制造商报告了他发现的虫子,并说他们花了一个星期的时间来修复它们。
在Defcon