研究人员在一家大型汽车制造商的经销商系统中发现漏洞，这些漏洞可能被利用来远程入侵汽车并获取个人信息。

该漏洞位于门户登录系统，攻击者可利用其创建“全国管理员”账户，绕过登录机制，获得对该车企集中式网络门户的“无限制访问”权限。

Harness 公司的研究员 Eaton Zveare 在周末的 DEF CON 黑客大会上总结了这项研究。

近年来，Zveare 发现本田、丰田等几家主要汽车制造商的在线平台存在漏洞。

他的最新研究重点关注一家未具名汽车制造商旗下1000多家美国经销商使用的在线平台。该平台可用于订购汽车、进行销售和管理客户。虽然可以通过互联网访问，但汽车经销商员工需要获得邀请才能注册账户。

然而，即使没有邀请，研究人员也能够找到帐户注册表，并滥用个人资料更新功能以及 API 漏洞来创建一个“国家管理员”帐户，从而使他能够完全访问该平台。

Zveare 注意到该平台允许经销商根据客户姓名或车辆识别码 (VIN) 查找车辆。在一位拥有受影响汽车制造商车辆的朋友帮助下，他进行了一些测试，发现他能够滥用该平台将车辆所有权转移到一个新创建的账户。

通过将他的账户与目标汽车绑定，Zveare 能够使用相关的移动应用程序远程跟踪车辆的位置、解锁车辆并启动引擎。

研究人员认为，只要配备了标准的远程信息处理模块，2012 年后生产的任何车型都能受到这种攻击。攻击者只需要知道受害者的姓名。

进一步研究发现，同一品牌使用不同的门户网站（包括用于借用汽车的门户网站），Zveare 也设法获得了提升的权限，这使他能够访问客户和员工的个人信息、合同、财务文件、汽车跟踪和其他内部功能。

Harness 公司表示，受影响的汽车制造商的名称尚未公布，但该公司在收到通知后确实解决了这些漏洞。

Traceable 表示：“这项研究的目的并非点名批评某家公司，而是要凸显经销商-制造商平台中那些通常不为人知的更广泛的系统性风险。点名批评会让讨论偏离真正重要的问题：提升整个行业的安全性。”