近日,有一個令人震驚的爆料的星鏈連接車輛有缺陷。這些缺陷使數百萬輛汽車容易受到駭客攻擊和位置追蹤。
安全研究人員 Sam Curry 和 Shubham Shah 發現了一些關鍵缺陷,這些缺陷使他們能夠遠端控制車輛並存取敏感位置歷史記錄。這可能會讓您有時間思考您的汽車資訊是否安全且私密。
研究人員如何發現斯巴魯的漏洞
一個調查庫裡繼續詢問他母親的 2023 年斯巴魯翼豹 (Subaru Impreza) 的互聯功能。他開始進行一項令人驚訝的隨機實驗——使用斯巴魯的 Starlink 平台發現一輛未上鎖的汽車,甚至透過啟動點火、按喇叭等來追蹤它在過去一年中的位置。
透過識別斯巴魯星鏈員工入口網站的弱點,研究人員發現他們可以僅使用員工電子郵件地址重設密碼。系統在用戶的瀏覽器而不是斯巴魯的伺服器上本地驗證其安全問題。
透過員工帳戶,他們可以找到任何支援星鏈的車輛,然後將控制權重新分配給另一台設備或電腦。
斯巴魯星鏈資料外洩的嚴重程度
根據有線,專家們以令人毛骨悚然的精確度清楚地展示了他們的發現。透過受損的門戶,他們:
一年內可存取的細粒度位置數據,顯示旅行、就診和停車位
遠端控制車輛功能,例如門鎖、點火和喇叭。
使用姓名、電子郵件和車牌等個人資訊識別所有者。
柯瑞和沙阿提到,這些缺陷不僅開闢了盜竊和追蹤的途徑,而且還代表了對汽車公司對汽車過度地理定位的更大擔憂。
斯巴魯是否修補了星鏈平台中的漏洞?
在研究人員於 2024 年 11 月披露他們的發現後,Subaru迅速做出了回應。然而,Subaru證實,員工可以出於合法目的存取車輛位置數據,例如協助急救人員。
「問題是,即使這個問題已經修復,這個功能對斯巴魯員工來說仍然存在。員工可以調出你一年的位置歷史記錄,這只是正常的功能,」庫裡說。
斯巴魯並不是唯一一家面臨這種隱私噩夢的公司
斯巴魯並不是唯一遇到這種情況的人。謳歌、本田、現代、寶馬等汽車中也發現了類似漏洞。
研究人員一次又一次地證明了基於網路的缺陷如何允許未經授權的訪問,但大多數汽車製造商在沒有足夠保護措施的情況下收集了大量駕駛員數據。
Mozilla 的 2023 年報告將現代汽車稱為“隱私噩夢。”報告稱,92% 的製造商幾乎不讓司機控制收集的數據,84% 的製造商保留分享或出售資訊的權利。
缺乏透明度仍然令人擔憂:斯巴魯聲稱它不出售位置數據,但它確實缺乏透明度和對其收集數據的控制。
加州消費者聯合會執行董事羅伯特·赫雷爾表示,人們正在以他們沒有意識到的方式被追踪,現在是時候制定更嚴格的法規來保護消費者了。
