Beveiligingsfouten in het webportaal van een autofabrikant laat één hacker op afstand auto’s van overal ontgrendelen

Een beveiligingsonderzoeker zei dat fouten in de on-line dealersportaal van een autofabrikant de privé -informatie en voertuiggegevens van zijn klanten hebben blootgelegd en dat hackers op afstand in breken in de voertuigen van zijn klanten.

Eaton Zveare, die werkt als beveiligingsonderzoeker bij Software program Supply Firm Harness, vertelde TechCrunch dat hij ontdekte dat hij ontdekte het maken van een admin -account dat “onbelemmerde toegang” verleende tot het gecentraliseerde webportaal van de naamloze autofabrikant.

Met deze toegang had een kwaadwillende hacker de persoonlijke en financiële gegevens van de klanten van de autofabrikant kunnen bekijken, voertuigen volgen en klanten instellen in functies waarmee eigenaren – of de hackers – enkele van de functies van hun auto overal kunnen besturen.

Zveare zei dat hij niet van plan is de verkoper te noemen, maar zei dat het een algemeen bekende automaker was met verschillende populaire submerken.

In een interview met TechCrunch voorafgaand aan zijn toespraak op de DEF Con Safety Convention in Las Vegas op zondag, zei Zveare dat de bugs de beveiliging van deze dealerssystemen onder de aandacht brengen, die hun werknemers en medewerkers brede toegang tot klant- en voertuiginformatie verlenen.

ZVeare, die bugs heeft gevonden in Klantensystemen van autofabrikanten En Voertuigbeheersystemen Vroeger vond de fout eerder dit jaar als onderdeel van een weekendproject, vertelde hij TechCrunch.

Hij zei dat terwijl de beveiligingsfouten in het inlogsysteem van de portal een uitdaging waren om te vinden, zodra hij het had gevonden, de bugs hem het loginmechanisme helemaal lieten omzeilen door hem toe te staan een nieuw “nationale admin” -account te maken.

De fouten waren problematisch omdat de buggycode in de browser van de gebruiker werd geladen bij het openen van de inlogpagina van de portal, waardoor de gebruiker – in dit geval ZVeare – de code kan wijzigen om de inlogbeveiligingscontroles te omzeilen. Zveare vertelde TechCrunch dat de autofabrikant geen bewijs vond van uiteinden uit het verleden, wat suggereerde dat hij de eerste was die het vond en meldde het aan de autofabrikant.

Bij het inloggen gaf het account toegang tot meer dan 1.000 van de sellers van de autofabrikanten in de Verenigde Staten, vertelde hij aan TechCrunch.

“Niemand weet zelfs dat je gewoon in stilte kijkt naar al deze gegevens van deze sellers, al hun financiële gegevens, al hun privé -dingen, al hun leads,” zei Zveare, bij het beschrijven van de toegang.

ZVEARE zei dat een van de dingen die hij in de dealersportaal vond, een nationale software voor het opzoeken van consumenten was waarmee ingelogde portaalgebruikers de gegevens van het voertuig en de bestuurder van die autofabrikant konden opzoeken.

In één real-world voorbeeld nam Zveare het unieke identificatienummer van een voertuig uit de voorruit van een auto op een openbare parkeerplaats en gebruikte het nummer om de eigenaar van de auto te identificeren. Zveare zei dat de software zou kunnen worden gebruikt om iemand op te zoeken met alleen de eerste en achternaam van een klant.

Met toegang tot de portal zei Zveare dat het ook mogelijk was om elk voertuig te koppelen aan een mobiel account, waarmee klanten op afstand enkele van de functies van hun auto uit een app kunnen besturen, zoals het ontgrendelen van hun auto’s.

Zveare zei dat hij dit in een real-world voorbeeld probeerde uit het account van een vriend en met hun toestemming. Bij het overdragen van eigendom naar een account die wordt bestuurd door ZVeare, zei hij dat de portal alleen een attest vereist – effectief een pinkerbelofte – dat de gebruiker de accountoverdracht uitvoert legitiem is.

“Voor mijn doeleinden kreeg ik internet een vriend die ermee instemde dat ik hun auto overnam, en daar rende ik mee,” vertelde Zveare aan TechCrunch. “Maar (het portaal) zou dat eigenlijk iedereen kunnen aandoen door alleen hun naam te kennen-die me een beetje raakt-of ik kon gewoon een auto opzoeken op de parkeerplaatsen.”

Zveare zei dat hij niet testte of hij kon wegjagen, maar zei dat de exploit door dieven kon worden misbruikt om bijvoorbeeld gadgets uit voertuigen in te breken en te stelen.

Een ander belangrijk probleem met de toegang tot de portal van deze autofabrikant was dat het mogelijk was om toegang te krijgen tot de systemen van andere vendor die zijn gekoppeld aan dezelfde portal through één aanmelding, een functie waarmee gebruikers inloggen op meerdere systemen of applicaties met slechts één set inloggegevens. Zveare zei dat de systemen van de autofabrikant voor sellers allemaal met elkaar verbonden zijn, dus het is gemakkelijk om van het ene systeem naar het andere te springen.

Hiermee zei hij, de portal had ook een functie die beheerders, zoals het gebruikersaccount dat hij heeft gemaakt, om andere gebruikers te ‘nadenken’ toestond, waardoor toegang tot andere dealersystemen effectief mogelijk was alsof ze die gebruiker waren zonder hun aanmeldingen nodig te hebben. Zveare zei dat dit vergelijkbaar was met een functie die in een Toyota -dealer portal werd gevonden ontdekt in 2023.

“Ze zijn gewoon beveiligingsnachtmerries die wachten om te gebeuren,” zei Zveare, gesproken over de functie gebruikers-imitatie.

Eenmaal in de portal ZVEARE vond persoonlijk identificeerbare klantgegevens, enkele financiële informatie en telematica-systemen waarmee de realtime locatie van huur- of hoffelijkheidsauto’s kon worden gevolgd, evenals auto’s die door het hele land werden verzonden, en de optie om ze te annuleren-hoewel ZVeare het niet probeerde.

Zveare zei dat de insecten ongeveer een week duurden om te repareren in februari 2025 kort na zijn openbaarmaking aan de autofabrikant.

“De afhaalmaaltijden is dat slechts twee eenvoudige API -kwetsbaarheden de deuren open hebben geblazen, en het is altijd gerelateerd aan authenticatie,” zei Zveare. “Als je die verkeerd gaat krijgen, dan valt alles gewoon neer.”