近日,有一个令人震惊的爆料的星链连接车辆存在缺陷。这些缺陷使数百万辆汽车容易受到黑客攻击和位置跟踪。
安全研究人员 Sam Curry 和 Shubham Shah 发现了一些关键缺陷,这些缺陷使他们能够远程控制车辆并访问敏感位置历史记录。这可能会让您有时间思考您的汽车信息是否安全且私密。
研究人员如何发现斯巴鲁的漏洞
一个调查库里继续询问他母亲的 2023 款斯巴鲁翼豹 (Subaru Impreza) 的互联功能。他开始进行一项令人惊讶的随机实验——使用斯巴鲁的 Starlink 平台发现一辆未上锁的汽车,甚至通过启动点火、按喇叭等来追踪它在过去一年中的位置。
通过识别斯巴鲁星链员工门户的弱点,研究人员发现他们可以仅使用员工电子邮件地址重置密码。系统在用户的浏览器而不是斯巴鲁的服务器上本地验证其安全问题。
通过员工帐户,他们可以找到任何支持星链的车辆,然后将控制权重新分配给另一台设备或计算机。
斯巴鲁星链数据泄露的严重程度
根据有线,专家们以令人毛骨悚然的精确度清楚地展示了他们的发现。通过受损的门户,他们:
一年内可访问的细粒度位置数据,显示旅行、就诊和停车位
远程控制车辆功能,例如门锁、点火和喇叭。
使用姓名、电子邮件和车牌等个人信息识别所有者。
库里和沙阿提到,这些缺陷不仅开辟了盗窃和跟踪的途径,而且还代表了对汽车公司对汽车过度地理定位的更大担忧。
斯巴鲁是否修补了星链平台中的漏洞?
在研究人员于 2024 年 11 月披露他们的发现后,斯巴鲁迅速做出了回应。该公司修补了其 Starlink 平台中的漏洞,发言人保证不会发生未经授权访问客户数据的情况。然而,斯巴鲁证实,员工可以出于合法目的访问车辆位置数据,例如协助急救人员。
“问题是,即使这个问题已经修复,这个功能对于斯巴鲁员工来说仍然存在。员工可以调出你一年的位置历史记录,这只是正常的功能,”库里说。
斯巴鲁并不是唯一一家面临这种隐私噩梦的公司
斯巴鲁并不是唯一遇到这种情况的人。讴歌、本田、现代、宝马等汽车中也发现了类似漏洞。
研究人员一次又一次地证明了基于网络的缺陷如何允许未经授权的访问,但大多数汽车制造商在没有足够保护措施的情况下收集了大量驾驶员数据。
Mozilla 的 2023 年报告将现代汽车称为“隐私噩梦。”报告称,92% 的制造商几乎不让司机控制收集的数据,84% 的制造商保留分享或出售信息的权利。
缺乏透明度仍然令人担忧:斯巴鲁声称它不出售位置数据,但它确实缺乏透明度和对其收集数据的控制。
加州消费者联合会执行董事罗伯特·赫雷尔表示,人们正在以他们没有意识到的方式被追踪,现在是时候制定更严格的法规来保护消费者了。
