在汽車日益互聯的時代,Subaru 的 Starlink 系統中發現了一個重大安全漏洞,凸顯了現代汽車技術面臨的日益增長的網路安全挑戰。這個現已修復的漏洞暴露了嚴重的安全隱患,可能允許惡意行為者未經授權訪問車輛和敏感使用者資料。
安全漏洞
安全研究人員 Sam Curry 和 Shubham Shah 在 Subaru 的 Starlink 互聯車輛服務中發現了一個嚴重漏洞,影響了美國、加拿大和日本的汽車。執行這個漏洞只需要最少的資訊——僅需駕駛員的姓氏,以及郵政編碼、電子郵件地址、電話號碼或車牌號碼其中之一。這個安全漏洞使未經授權的訪問者能夠控制關鍵的車輛功能和敏感的使用者資料。
受影響地區:
- United States
- Canada
- Japan
訪問範圍
該漏洞賦予攻擊者前所未有的車輛控制權,包括遠端啟動和停止發動機、門鎖的開啟和關閉,以及即時位置追蹤。更令人擔憂的是,攻擊者可以訪問長達一年的詳細位置歷史記錄,精確到停車位置。此外,還暴露了包括家庭地址、賬單詳情、緊急聯絡人和車輛歷史在內的個人資訊。
洩露的資料型別:
- 車輛即時位置
- 一年內的位置歷史記錄
- 車輛控制功能
- 個人資訊
- 賬單詳情
- 緊急聯絡人
- 支援電話記錄
- 里程錶讀數
- 前車主資訊
技術漏洞
這個漏洞源於 Subaru 員工門戶和身份驗證系統的弱點。雖然 Starlink 登入supposedly受到雙重認證和安全問題的保護,但研究人員發現他們可以透過簡單修改網站程式碼來繞過這些安全措施。這個實現缺陷實際上使密碼保護系統失效。
Subaru 的回應和持續關注
雖然 Subaru 在收到通知後24小時內迅速修補了漏洞,但這一事件引發了對公司內部資料訪問的嚴重質疑。目前 Subaru 的員工仍保留著對客戶資訊的廣泛訪問許可權,包括位置歷史和個人詳細資訊,且監管有限。該公司堅持認為這種訪問對緊急服務和支援功能是必要的,但隱私倡導者質疑資料保留和訪問許可權的範圍。
 |
|---|
| Subaru 標誌象徵著該品牌對安全漏洞的應對以及與資料訪問相關的持續關注 |
更廣泛的行業影響
這次安全漏洞體現了汽車網路安全漏洞的一個更大趨勢。隨著車輛變得更加互聯,它們面臨著可能危及使用者隱私和安全的網路攻擊風險增加。這一事件為汽車行業敲響了警鐘,提醒其加強網路安全措施並重新評估資料保護和訪問控制方法。