斯巴鲁 Starlink 漏洞使汽车面临远程黑客攻击

斯巴鲁 Starlink 车联网服务存在重大漏洞，导致美国、加拿大和日本的车辆和客户账户面临潜在的网络攻击。安全研究员 Sam Curry 和同事 Shubham Shah 发现了严重漏洞，攻击者可以利用这些漏洞获得斯巴鲁车联网系统的管理权限，从而远程控制车辆并访问敏感的客户数据。

Starlink 是斯巴鲁汽车的车载信息娱乐和联网服务系统，旨在提供远程车辆控制、导航和紧急服务等功能。然而，研究人员发现，该系统的管理面板（专供员工使用）安全性不足。管理门户托管在 subarucs.com 的子域上，由于 JavaScript 代码中的身份验证协议薄弱，因此可能被利用。具体来说，它允许攻击者重置有效员工帐户的密码，而无需确认令牌，从而有效地绕过安全保护措施。

通过识别合法的员工电子邮件，Curry 和 Shah 能够重置帐户密码并通过禁用客户端覆盖来绕过双因素身份验证。这让他们获得了对管理仪表板的完全访问权限，从而泄露了大量敏感数据。他们可以查看客户信息，包括姓名、邮政编码、电话号码、电子邮件地址和账单详细信息，以及车辆特定数据，例如 VIN 号和历史位置信息。

这些漏洞并不止于数据泄露。据 Curry 称，管理面板还允许研究人员修改或授予车辆访问权限。这包括在车主不知情的情况下远程启动、停止、锁定或解锁汽车。令人震惊的是，他们发现攻击者可以在不提醒合法车主的情况下将自己添加为车辆的授权用户，从而有效地控制汽车。

2024 年 11 月 20 日，库里向斯巴鲁报告了这一漏洞。值得称赞的是，斯巴鲁迅速采取行动，在收到报告后 24 小时内解决了这个问题。虽然这种快速反应减轻了眼前的风险，但这一发现凸显了汽车网络安全方面持续存在的弱点。

这并不是库里第一次揭露联网汽车系统的漏洞。2023 年，他和一组研究人员揭露了影响 16 家汽车制造商的远程信息处理系统、汽车 API 和联网汽车基础设施的安全漏洞。其中包括 Sirius XM 远程信息处理系统中的一个备受关注的问题，导致多个品牌容易受到远程黑客攻击。此外，库里此前还发现了起亚车主平台的一个漏洞，该漏洞使数百万辆汽车面临风险。

斯巴鲁 Starlink 案例凸显了在联网汽车生态系统中进行严格安全测试的重要性。随着物联网系统在车辆中的集成度不断提高，制造商必须优先考虑强大的网络安全措施，以防止数据泄露和远程车辆接管。如果不这样做，驾驶员可能会容易受到日益复杂的网络攻击。