斯巴鲁漏洞让黑客可以远程控制数百万辆汽车

据Cyber Security News消息 ，斯巴斯巴鲁STARLINK互联汽车服务中心在2024年底被发现一个关键漏洞 ，鲁漏辆汽美国
、洞让加拿大和日本的黑客数百万辆汽车和车主账户可能受到网络攻击。

该安全漏洞允许攻击者使用最少的可远信息（如姓氏和邮政编码
 、电子邮件地址、程控车电话号码或车牌）远程访问敏感的制数车辆和个人数据 ，包括 ：

远程启动、百万停止、斯巴锁定和解锁车辆。鲁漏辆汽访问实时车辆位置并检索过去一年的洞让详细位置历史记录 。提取客户的黑客个人身份信息 （PII） ，源码下载包括地址、可远账单详细信息（部分信用卡信息） 、程控车紧急联系人和车辆 PIN。制数查询其他用户数据，例如支持呼叫历史记录 、里程表读数、销售记录等 。

研究人员通过仅使用车牌号成功接管车辆证明了这种漏洞的危害性 。他们还从一辆测试车辆中检索了一年多的精确位置数据，这些数据包括每次发动机启动时更新的数千个 GPS 坐标
。

漏洞发现过程

研究人员最初检查了斯巴鲁的 MySubaru 移动应用程序，发现其十分安全，免费模板便将重点转移到面向员工的系统上，他们通过子域扫描发现了 STARLINK 服务的管理门户。 起初，该网站似乎没有太多内容，只有一个登录面板，并且没有任何可用的凭据 。

然而，在研究网站的源代码时，发现 /assets/_js/ 文件夹中有一些 JavaScript 文件
。 为了深入挖掘 ，研究人员对该目录进行了暴力破解 。在一个名为 login.js 的服务器租用文件中 ，发现有段代码可以在无需任何令牌的条件下重置员工账户 。因此，攻击者可以使用任何有效的员工电子邮件进行账户接管  。

为了验证这一点
，研究人员发送了一个 POST 请求，以检查该功能是否已暴露并处于运行状态。 该门户网站包含一个密码重置端点，允许在不需要确认令牌的情况下接管账户。 利用 LinkedIn 和其他来源的公开信息，他们确定了有效的模板下载员工电子邮件地址，从而利用了这一漏洞 。

进入管理系统后，研究人员通过禁用客户端安全覆盖 ，绕过了双因素身份验证（2FA），进而可以不受限制地访问 STARLINK 的后台功能，包括查看和导出任何已连接斯巴鲁车辆的详细位置历史记录
、使用邮政编码或车辆识别码等基本标识符搜索车主帐户、在不通知车主的情况下为车辆添加未经授权的用户。

为了进一步验证其发现 ，研究人员在朋友的汽车上测试了他们获得的香港云服务器访问权限 ，最终成功地远程解锁了车辆且没有触发任何警报或通知 。

研究人员于 2024 年 11 月 20 日向斯巴鲁报告了该漏洞，并在次日就得到了修复
。据研究人员称 ，没有证据表明该漏洞在修补之前被恶意利用。

这一事件凸显了人们对联网汽车网络安全的广泛担忧，这些车辆收集了大量数据
 ，并依赖于难以全面保障安全的互联系统。 研究人员指出，作为日常工作的一部分
，员工通常可以广泛访问敏感信息
，这使得此类系统本身就很脆弱。源码库