近日,有一個令人震驚的爆料的星鏈連接車輛存在缺陷。這些缺陷使數百萬輛汽車容易受到黑客攻擊和位置跟踪。
安全研究人員 Sam Curry 和 Shubham Shah 發現了一些關鍵缺陷,這些缺陷使他們能夠遠程控制車輛並訪問敏感位置歷史記錄。這可能會讓您有時間思考您的汽車信息是否安全且私密。
研究人員如何發現斯巴魯的漏洞
一個調查庫裡繼續詢問他母親的 2023 款斯巴魯翼豹 (Subaru Impreza) 的互聯功能。他開始進行一項令人驚訝的隨機實驗——使用斯巴魯的 Starlink 平台發現一輛未上鎖的汽車,甚至通過啟動點火、按喇叭等來追踪它在過去一年中的位置。
通過識別斯巴魯星鏈員工門戶的弱點,研究人員發現他們可以僅使用員工電子郵件地址重置密碼。系統在用戶的瀏覽器而不是斯巴魯的服務器上本地驗證其安全問題。
通過員工帳戶,他們可以找到任何支持星鏈的車輛,然後將控制權重新分配給另一台設備或計算機。
斯巴魯星鏈數據洩露的嚴重程度
根據有線,專家們以令人毛骨悚然的精確度清楚地展示了他們的發現。通過受損的門戶,他們:
一年內可訪問的細粒度位置數據,顯示旅行、就診和停車位
遠程控制車輛功能,例如門鎖、點火和喇叭。
使用姓名、電子郵件和車牌等個人信息識別所有者。
庫里和沙阿提到,這些缺陷不僅開闢了盜竊和跟踪的途徑,而且還代表了對汽車公司對汽車過度地理定位的更大擔憂。
斯巴魯是否修補了星鏈平台中的漏洞?
在研究人員於 2024 年 11 月披露他們的發現後,斯巴魯迅速做出了回應。該公司修補了其 Starlink 平台中的漏洞,發言人保證不會發生未經授權訪問客戶數據的情況。然而,斯巴魯證實,員工可以出於合法目的訪問車輛位置數據,例如協助急救人員。
“問題是,即使這個問題已經修復,這個功能對於斯巴魯員工來說仍然存在。員工可以調出你一年的位置歷史記錄,這只是正常的功能,”庫裡說。
斯巴魯並不是唯一一家面臨這種隱私噩夢的公司
斯巴魯並不是唯一遇到這種情況的人。謳歌、本田、現代、寶馬等汽車中也發現了類似漏洞。
研究人員一次又一次地證明了基於網絡的缺陷如何允許未經授權的訪問,但大多數汽車製造商在沒有足夠保護措施的情況下收集了大量駕駛員數據。
Mozilla 的 2023 年報告將現代汽車稱為“隱私噩夢。”報告稱,92% 的製造商幾乎不讓司機控制收集的數據,84% 的製造商保留分享或出售信息的權利。
缺乏透明度仍然令人擔憂:斯巴魯聲稱它不出售位置數據,但它確實缺乏透明度和對其收集數據的控制。
加州消費者聯合會執行董事羅伯特·赫雷爾表示,人們正在以他們沒有意識到的方式被追踪,現在是時候制定更嚴格的法規來保護消費者了。
