日前，一项重大汽车制造商网络门户的安全漏洞被曝光，该漏洞可能使黑客能够远程解锁汽车，并获取用户的个人数据。这一漏洞的发现源于网络安全研究员Eaton Zveare的调查，尽管目前尚未披露具体的汽车制造商名称，但Zveare确认该公司在美国拥有超过1000家经销商。

Zveare以发现物联网设备中的关键安全漏洞而闻名，早在2022年研讨会中，他便揭示了一款智能温泉应用程序的严重安全问题，从而引起了广泛关注。而此次在汽车制造商的在线系统中发现的漏洞则令他倍感震惊。

该漏洞位于汽车制造商为其经销商提供的在线门户中。Zveare通过修改门户代码实现了绕过登录安全的技术，进而创建了一个新的“国家管理员”账户，这使他能够无障碍访问数千名客户的私人信息，包括个人数据、财务信息和车辆信息。此外，黑客仅需使用车辆的唯一识别号码（VIN），即可找到车主的姓名，而更为严重的是，这一漏洞让黑客能够远程控制多种汽车功能，比如仅通过知道车主姓名或车辆识别码便可以解锁车门。尽管Zveare并未测试是否能直接将车辆开走，但漏洞的存在无疑为小偷提供了机会。

这一经销商门户的安全漏洞并不仅限于客户信息的曝光。在获得管理员访问权限的情况下，Zveare还能够查看所有经销商的财务数据，并实时追踪租赁或备用车辆的位置。他表示，这些安全漏洞宛如一场“等待发生的安全噩梦”，因为它允许黑客模仿其他用户并访问不同的系统。

网络安全公司Malwarebytes对这一问题进行了分析，指出这类漏洞使得到更容易追踪和监视他人。Zveare在Defcon安全会议上分享了他的发现，他表示该漏洞在上报后仅用了约一周的时间便得到修复。他告诉《TechCrunch》，主要问题在于简单的身份验证错误，他说：“如果你在此方面做错了，那么一切都将崩溃。”

对于那些担心汽车安全的人，Zveare提供了一些简单的建议以防止不必要的追踪：使用手机的导航应用程序（如谷歌地图），而不是车载导航系统；不要在汽车导航系统中保存常用目的地；保持汽车软件更新，以确保拥有最新的安全保护；检查汽车的远程访问应用程序，确保没有未知设备与自己的账户关联。

此次事件的发生引发了人们对汽车数字安全的广泛关注。汽车制造商在将现代汽车转变为智能手机的过程中，网络安全的需求比以往更为迫切。Uconnect等多款连接网络的汽车功能，控制着车辆的娱乐、导航，甚至提供Wi-Fi热点。然而，Zveare探测到的漏洞使得黑客能够通过简单的IP地址获取任何一辆汽车的控制权。这种情况让人担忧，因为黑客可以通过无线连接对成千上万辆汽车实施攻击。

与此同时，汽车制造商在面对车辆网络安全问题时，往往反应缓慢。相较于加快推出新特性以提供更吸引人的用户体验，他们更倾向于关注如何在满足市场需求的同时，提升安全性。这一点在某些情况下可能导致企业遭遇法律的制裁。

在进一步的研究和露面中，Zveare与众多企业共享了他对汽车数字安全的关键见解。他指出，车主应当意识到这一潜在的攻击风险并对此进行足够的警惕。此外，消费者对其汽车安全问题的关心和反馈也将有效推动汽车制造商提升其网络安全标准。

随着车载系统日益智能化，汽车的网络安全问题也在迅速演变。未来，提升汽车的安全性将不仅限于 产品的推陈出新 和功能的多样化，更需要在设计的初期就充分考虑到网络安全的因素。此外，立法者应当更加重视这些安全隐患，并与汽车制造商紧密合作，制定相应的法规和政策，以确保车辆的数字安全不被忽视。最终，创造一个更加安全的汽车消费环境将出现在每个人的期待之中。

随着汽车行业不断向数字化转型，确保其安全是一项长期而复杂的挑战。像Zveare这样的研究人员的发现，尽管令人不安，但也是一种警醒，迫使汽车制造商意识到他们必须在数字安全领域采取更积极的态度。综合来看，提升汽车的网络安全将是整个行业必须面对和紧急解答的问题。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！