關注公眾號並設為🌟標,獲取AI治理全球最佳實踐
來源:安全內參
攻擊者可以利用最基本的車主資訊,訪問斯巴魯汽車星鏈管理系統,進行定位或遠端操作。
安全內參1月24日訊息,安全研究員Sam Curry和Shubham Shah發現了斯巴魯(Subaru)汽車星鏈管理系統中的一個漏洞。透過該漏洞,攻擊者僅憑藉基本的客戶資訊,如姓氏、郵政編碼、電子郵件地址、電話號碼或車牌號碼,就能夠完全訪問車輛的控制系統及資料。
圖:該系統支援透過車牌號、郵箱、電話號碼等多種形式檢索並管理車輛
這一漏洞使得駭客可以精確追蹤車輛位置,精度達到5米,並記錄下過去一年中每次發動機啟動時的座標。
安全研究員Sam Curry昨天釋出文章稱,去年11月20日發現了斯巴魯星鏈聯網汽車服務中的一個嚴重漏洞,攻擊者可以未經授權訪問美國、加拿大和日本的車輛及客戶資料。該漏洞暴露了廣泛的車輛控制能力和敏感的客戶資訊。
在受控測試中,研究人員透過訪問2023年款斯巴魯翼豹的系統,展示了該漏洞的危害範圍。他們成功獲取了超過1600個位置座標,涵蓋了車輛一整年的移動資料。
更令人擔憂的是,他們在沒有觸發任何車主通知的情況下,將未經授權的使用者新增到一輛志願者的車輛中。漏洞使得駭客能夠遠端控制車輛,包括啟動車輛、熄火、鎖車及解鎖等操作。
該安全漏洞源於星鏈員工管理系統中的密碼重置漏洞和二次身份驗證繞過。這使得未經授權的使用者能夠訪問大量客戶資料,包括緊急聯絡人、住址、部分賬單資訊、車輛PIN碼及詳細的服務歷史記錄。
研究員們強調了聯網車輛安全問題的廣泛影響,尤其是當涉及員工管理許可權時。Curry在其披露中寫道:“汽車行業的特殊之處在於,來自德克薩斯州的18歲員工可以查詢加利福尼亞州一輛車輛的賬單資訊,而這一行為並不會觸發任何警報。這一切都完全依賴於信任。”
斯巴魯的安全團隊在2024年11月20日接到漏洞報告後,迅速響應並於次日下午實施了修復。修復前並沒有證據表明漏洞被惡意利用。
Mozilla的先前研究已經表明,現代汽車常常成為隱私的噩夢。大量個人資料透過“聯網汽車”被傳輸給汽車製造商並被追蹤。儘管這些資料通常只在製造商內部儲存,並偶爾被轉售,但至少這些資料應該受到某種安全保護,防止被未經授權的人員訪問。如今看來,如果惡意駭客能夠入侵汽車製造商的中央控制系統,他們將能獲取一個充滿敏感資料的“金礦”。
僅憑管理員賬號即可輕鬆訪問這些敏感資料,甚至在沒有任何基於位置的許可權控制的情況下讓軟體工程師檢視,實在是極為不負責任的行為。管理員在訪問未匿名化的客戶資料時,應該有嚴格的防護措施。
此事件再次提醒我們,過度的資料收集對客戶隱私構成了極大的安全隱患。幸運的是,這一次,講道義的駭客比惡意駭客更早發現了漏洞,儘管我們無法確認是否真是如此。
參考資料:motorillustrated.com
全部AI及資料中譯本及資訊請加入
