据Cyber Security News报道,斯巴鲁STARLINK互联汽车服务中心在2024年底发现一个关键漏洞,可能影响美国、加拿大和日本数百万辆汽车及车主账户的安全。该漏洞使攻击者能利用少量信息远程访问车辆和个人敏感数据,包括控制车辆、获取位置历史、提取个人身份信息等。
漏洞允许的操作:
远程启动、停止、锁定和解锁车辆;访问实时位置及一年内的位置历史;获取地址、账单详情(部分信用卡信息)、紧急联系人和车辆PIN等个人信息;查询其他用户数据,如呼叫历史、里程表读数、销售记录等。研究人员通过车牌号成功接管车辆,并获取了一年多的位置数据。
漏洞发现过程:
研究人员先检查MySubaru应用,后转向员工系统,通过子域扫描发现STARLINK管理门户。尽管起初看似内容有限,但在分析源代码时,发现可重置员工账户的代码漏洞。利用此漏洞,研究人员通过公开信息确定员工邮件地址,接管账户,绕过双因素认证,访问后台功能。他们还在朋友车辆上验证了访问权限,成功远程解锁车辆。
斯巴鲁在2024年11月20日接到报告后次日即修复了漏洞。据称,无证据表明该漏洞被恶意利用前已被发现。此事件加剧了人们对联网汽车网络安全的担忧,指出员工广泛访问敏感信息使系统脆弱。
参考来源:
Subaru Car Vulnerability Lets Hackers Control Millions of Cars Remotely Using Starlink
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
