ソフトウェア会社Harnessのセキュリティ専門家であるEaton Zveare氏は、自動車メーカーのディーラー向け情報ポータルに深刻な脆弱性を発見しました。これにより、顧客の個人データと車両情報が漏洩し、ハッカーが遠隔操作を許可する可能性があります。Techcrunchによると。
Eaton Zveareによると、この脆弱性により、自動車メーカーの集中Webシステムに無制限のアクセス権を持つ管理者アカウントを作成できます。悪意のある者は、個人データ、財務データ、車両位置の追跡、さらにはロック解除などのリモートコントロール機能を有効にすることができます。
Zveareは今年の初めに個人プロジェクトでエラーを発見しました。見つけるのは困難ですが、利用可能になったら、このエラーはログイン手順を完全にスキップして国家管理者アカウントを作成することを許可します。原因は、エラーコードがログインページを開いた直後にロードされ、認証メカニズムを突破するための修正が許可されることです。セキュリティ上の理由で自動車メーカーは名前を挙げられていませんが、同社によると、以前に悪用された脆弱性の兆候はありません。
アクセス権を使用すると、Zveareは米国の1 000以上のディーラーのデータにアクセスし、名前またはVINのみで車両情報と所有者を検索できます。この専門家は友人の車をテストし、システムがアカウント所有権を移行するためにテキスト認証のみを要求していることに気づきました。
情報ポータルでは、他のディーラーのシステムにアクセスするために一度ログインすることもでき、パスワードなしで他のユーザーを偽装する機能も備えています。これは、2023年にトヨタのシステムで発見された同様のバグです。
システム内では、Zveareは識別データ、一部の財務情報、レンタル車両、サービス車両、または輸送中の車両のリアルタイム位置を追跡する機能、さらには輸送注文をキャンセルするオプションも見つけることができます。
現在、自動車メーカーは2025年2月に報告書を受け取った際にエラーを修正しました。Zveareは、「わずか2つの簡単なAPI脆弱性でもセキュリティの扉を閉ざすのに十分です」と警告しています。
