斯巴鲁汽车软件中的安全漏洞允许黑客全面访问车辆
随着汽车行业变得越来越智能、互联程度越来越高,安全漏洞也越来越多。一份新报告详细描述了联网汽车的脆弱性。
一位名叫萨姆-库里(Sam Curry)的安全研究人员最近发表了一篇博客文章,详细描述了他和一位同事(Shubham Shah)是如何入侵斯巴鲁汽车所使用的 Starlink 软件系统的。Starlink 为斯巴鲁汽车的信息娱乐中心提供动力,允许用户远程控制他们注册的汽车,包括远程锁定/解锁汽车和启动汽车。
库里解释说,利用斯巴鲁员工登录Starlink系统页面的漏洞,他可以识别一个有效的员工电子邮件地址,更改员工密码,并规避任何形式的双因素验证登录。
进入 Starlink 系统后,库里发现他可以通过客户姓名、电话号码、电子邮件地址或车辆识别码 (VIN) 找到任何注册的斯巴鲁车辆(注意,通过车牌可以很容易地找到车辆识别码)。其他可用信息包括账单数据、紧急联系人等。
据库里称,不仅这些个人数据很容易获得,车辆过去一年的位置历史记录也很容易下载和绘制。这些位置数据包括时间戳、车辆里程表和 GPS 坐标(精确度约为 15 英尺或 5 米)。
也许最令人震惊的是,库里能够在数据库中找到朋友的汽车,并将自己作为授权星联用户的个人凭证添加到该车上。一旦添加成功,他就可以远程控制汽车。这使他能够锁定和解锁汽车、远程启动汽车并确定汽车位置。受影响的 Starlink 用户没有收到任何通知,说明该车的 Starlink 账户已添加了另一名用户。
斯巴鲁似乎已经修补了库里在 2024 年 11 月发现的这个漏洞。值得称赞的是,这家汽车制造商在收到库里的报告后 24 小时内就发布了补丁。库里的帖子提醒我们,虽然我们的汽车很智能,但仍然很容易受到小偷和其他恶意行为者的攻击。
资料来源
