Harness 소프트웨어 회사의 보안 전문가인 Eaton Zveare는 자동차 제조업체의 대리점 정보 포털에서 심각한 취약점을 발견했습니다. Boba에 따르면 이로 인해 고객의 개인 데이터와 자동차 정보가 유출되었으며 해커가 자동차를 원격으로 제어할 수 있습니다.
Eaton Zveare는 취약점을 통해 자동차 회사의 중앙 집중식 웹 시스템에 무제한 액세스 권한이 있는 관리자 계정을 만들 수 있다고 밝혔습니다. 악당은 개인 데이터를 볼 수 있고 재무 상태를 볼 수 있고 자동차 위치를 추적할 수 있고 심지어 잠금 해제와 같은 원격 제어 기능을 활성화할 수도 있습니다.
Zveare는 올해 초 개인 프로젝트에서 오류를 발견했습니다. 눈을 찾기는 어렵지만 일단 눈을 악용하면 국가 관리자 계정을 만들기 위한 로그인 단계를 완전히 건너뛸 수 있습니다. 그 이유는 로그인 페이지를 열 때 오류 코드가 즉시 로드되어 확인 메커니즘을 우회하기 위해 수정할 수 있기 때문입니다. 자동차 회사는 눈 보안상의 이유로 이름이 언급되지 않았지만 회사에 따르면 눈은 이전에 악용된 징후가 없었습니다.
액세스 권한을 통해 즈베아레는 미국 내 1 000개 이상의 대리점 데이터에 접근할 수 있으며 VIN 이름 또는 번호만으로 차량 및 소유자 정보를 검색할 수 있습니다. 이 전문가는 친구의 차량에서 테스트한 결과 시스템이 계정 소유권을 이전하려면 구두 확인만 요구한다는 것을 알게 되었습니다.
정보 포털을 통해 한 번 로그인하여 다른 대리점의 시스템에 액세스할 수 있으며 비밀번호 없이 다른 사용자를 사칭하는 기능도 있습니다. 이는 2023년 토요타 시스템에서 발견된 오류와 유사합니다.
궁전 시스템 내부에서 Zveare는 궁전 식별 데이터 일부 궁전 금융 정보 궁전 임대 차량 서비스 차량 또는 궁전 운송 차량의 실시간 위치 추적 기능 심지어 운송 명령 취소 옵션까지 발견했습니다.
현재 자동차 회사는 2025년 2월 보고서를 받았을 때 오류를 수정했습니다. Zveare는 '단순한 API 취약점 2개만으로도 보안 문을 부수기에 충분합니다 cu
