安全研究人员在斯巴鲁的 Starlink 系统中发现了令人震惊的漏洞,可能导致数百万辆汽车受到未经授权的访问和广泛的位置跟踪。 虽然斯巴鲁表示不会出售位置数据,但滥用的可能性是一个重大问题。
萨姆-库里(Sam Curry)为母亲购买了一辆2023年款的翼豹(Impreza)汽车,在一次感恩节探访中,他决定检查一下该车的互联网连接功能。
库里和研究员舒巴姆-沙发现他们可以劫持对各种车辆功能的控制,包括解锁车门、按喇叭和启动点火装置。 然而,库里认为最令人不安的是他们能够访问详细的位置历史记录。他告诉《连线》:"我可以检索到汽车至少一年的定位历史记录,它被精确地定位,有时一天多次。 不管是有人出轨、堕胎还是加入某个政治团体,都有无数种情况可以让你利用这一点来对付某人。"
研究人员首先发现了 SubaruCS.com 网站密码重置功能中的一个弱点,这是一个专为斯巴鲁员工提供的管理门户网站。 他们只需猜测员工的电子邮件地址,就能启动密码重置程序,从而暴露了系统设计中的一个关键漏洞。
进一步调查发现,虽然该网站在重置过程中确实要求回答两个安全问题,但这些问题是通过在用户浏览器中运行的客户端代码验证的,而不是在斯巴鲁的服务器上。 这一疏忽让研究人员轻易绕过了安全问题,凸显了该公司网络安全措施的重大失误,并且是多个系统性失误导致的。
随后,库里和沙利用 LinkedIn 找到了斯巴鲁 Starlink 开发人员的电子邮件地址,利用漏洞接管了这名员工的账户,从而获得了访问敏感信息和控制的权限。 被入侵的账户允许他们使用各种个人身份信息(如姓氏、邮编、电子邮件地址、电话号码或车牌号)查找任何斯巴鲁车主。
此外,他们还发现可以访问和修改任何车辆的 Starlink 配置,以及重新分配对 Starlink 功能的控制。 这包括远程解锁汽车、按喇叭、启动点火装置和定位车辆的能力。
最令人震惊的是,库里和沙获得了车辆的详细定位历史记录,数据至少可以追溯到一年前。库里解释说:"可以检索到汽车至少一年的定位历史记录,它在哪里被精确地定位,有时一天被定位多次。"
研究人员在 11 月底报告了他们的发现后,斯巴鲁很快修补了安全漏洞。 然而,这一事件引发了人们对汽车行业隐私和数据安全的广泛关注。 研究人员警告说,其他汽车制造商的系统也可能存在类似的漏洞。
斯巴鲁发言人证实,某些员工可以访问位置数据,并表示这是必要的,例如在发生碰撞时与急救人员共享车辆位置。该公司表示:"所有这些人都接受过适当的培训,并根据需要签署适当的隐私、安全和 NDA 协议。 该公司还表示不会出售位置数据。"
这一发现是互联汽车安全漏洞大趋势的一部分。 库里和其他研究人员此前已经发现了影响多家汽车制造商的类似问题,包括讴歌、捷尼赛思、本田、现代、英菲尼迪、起亚和丰田。
这一事件凸显了围绕现代汽车的隐私问题日益严重。 Mozilla 基金会最近的一份报告强调,92%的汽车制造商几乎不允许车主控制收集到的数据,84%的汽车制造商保留出售或共享这些信息的权利。
