斯巴鲁Starlink系统漏洞：黑客可追踪车辆位置并远程控制

近日，安全研究人员发现斯巴鲁Starlink系统存在重大漏洞，黑客可能在过去一年中追踪车辆位置并远程控制某些功能。虽然这些漏洞已被修复，但这一发现引发了人们对联网汽车隐私以及汽车公司授予员工访问敏感客户数据的担忧。

安全研究员Sam Curry购买了一辆斯巴鲁汽车送给母亲，他与母亲达成协议，允许他在某个时间点对汽车进行黑客攻击。去年11月，Curry开始测试2023款斯巴鲁翼豹的联网功能。据Ars Technica报道，Curry与另一位研究员Shubham Shah合作，很快发现了斯巴鲁网络门户的漏洞。

他们发现的漏洞允许他们将汽车Starlink功能的控制权重新分配到他们选择的任何设备上。他们可以解锁汽车、鸣喇叭，甚至启动点火装置。最令人担忧的是，他们能够访问汽车使用一年来的详细位置数据。这些信息揭示了Curry母亲访问过的所有地点，包括具体的停车位和个人停留地点，例如教堂和诊所。

2023款斯巴鲁翼豹一年的位置数据，由于安全漏洞，可以通过斯巴鲁员工管理门户访问。图片来源：Sam Curry

Curry解释说：“你可以检索到汽车至少一年的位置历史记录，包括它精确的定位，有时一天多次。无论一个人是否在欺骗妻子、进行堕胎或加入某个政治团体，都有无数种方式可以利用这一点来攻击某人。”

斯巴鲁Starlink漏洞使汽车暴露在远程黑客攻击之下

Curry和Shah在上周发布的一篇博客文章中详细介绍了他们的发现，揭示了斯巴鲁网站中针对员工设计的漏洞，允许他们重置员工的帐户凭据并访问车辆数据。通过利用这些漏洞，他们可以追踪美国、加拿大或日本任何配备Starlink的斯巴鲁汽车。这次黑客攻击依赖于一系列失误：基于电子邮件的密码重置、在浏览器中验证的安全问题答案以及员工对客户数据的过度广泛访问权限。

斯巴鲁在11月收到通知后迅速解决了这些漏洞。该公司表示：“在收到独立安全研究人员的通知后，[斯巴鲁]发现其Starlink服务存在漏洞，可能允许第三方访问Starlink帐户。该漏洞已立即关闭，从未有任何客户信息在未经授权的情况下被访问。”

然而，这一事件突显了汽车制造商收集了多少数据以及谁可以访问这些数据。斯巴鲁证实，一些员工可以访问历史位置数据，声称这是必要的，例如在事故发生后与急救人员共享车辆位置。然而，Curry质疑保留如此大量数据的必要性。

他说：“人们期望谷歌员工不会随意查看你的Gmail电子邮件。但斯巴鲁的管理面板上有一个按钮，可以让员工查看位置历史记录。”

斯巴鲁的情况并非孤立。研究人员的工作是暴露联网汽车漏洞的更广泛趋势的一部分。在过去两年中，Curry和他的同事在讴歌、丰田、现代、起亚以及多个豪华品牌使用的网络系统中发现了类似的漏洞。虽然许多案例都涉及远程控制汽车功能的可能性，但斯巴鲁收集的大量位置数据却独树一帜。

这一发现加剧了人们对汽车行业数据实践的担忧。9月，Mozilla基金会将现代汽车称为“隐私噩梦”，报告称92%的汽车制造商对数据收集几乎没有控制权，84%的汽车制造商保留出售或共享他们收集数据的权利。斯巴鲁否认出售位置数据。

更广泛的结论是，联网汽车正日益成为敏感个人数据的存储库。Curry的发现强调了需要更好的安全措施来保护驾驶员免受潜在的滥用，无论是黑客还是那些拥有授权访问权限的人。随着汽车公司扩展其联网服务，功能与隐私之间的平衡仍然是一个关键挑战。