斯巴魯星鏈漏洞使汽車面臨遠端駭客攻擊

斯巴魯星鏈互聯車輛服務中的一個重大漏洞使美國、加拿大和日本的車輛和客戶帳戶面臨潛在的網路攻擊。安全研究員 Sam Curry 和研究員 Shubham Shah 發現了一些嚴重缺陷，這些缺陷可能使攻擊者能夠獲得斯巴魯聯網車輛系統的管理存取權限，從而實現車輛的遠端控制和敏感客戶資料的存取。

Starlink 是斯巴魯汽車的車載資訊娛樂和互聯服務系統，旨在提供遠端車輛控制、導航和緊急服務等功能。然而，研究人員發現，該系統的管理面板（專供員工使用）的安全性不足。管理入口網站託管在 subarucs.com 的子網域上，由於 JavaScript 程式碼中的身份驗證協定較弱，因此可能會被利用。具體來說，它允許攻擊者在不需要確認令牌的情況下重置有效員工帳戶的密碼，從而有效地繞過安全保護措施。

透過識別合法的員工電子郵件，Curry 和 Shah 能夠重設帳戶的密碼，並透過停用用戶端覆蓋來繞過雙重認證。這使他們能夠完全存取管理儀表板，從而洩露大量敏感資料。他們可以查看客戶信息，包括姓名、郵政編碼、電話號碼、電子郵件地址和賬單詳細信息，以及車輛特定數據，例如 VIN 號碼和歷史位置信息。

這些漏洞並沒有止於資料暴露。據庫裡介紹，管理面板還使研究人員能夠修改或授予對車輛的存取權限。這包括在車主不知情的情況下遠端啟動、停止、鎖定或解鎖汽車。他們的一個令人震驚的發現表明，攻擊者可以將自己添加為車輛的授權用戶，而無需通知合法車主，從而有效地接管對汽車的控制。

Curry 於 2024 年 11 月 20 日向 Subaru 報告了該缺陷。雖然這種快速反應減輕了直接風險，但這項發現凸顯了汽車網路安全持續存在的弱點。

這並不是柯瑞第一次暴露連網車輛系統的漏洞。 2023 年，他和一組研究人員揭露了影響 16 家汽車製造商的遠端資訊處理系統、汽車 API 和連網車輛基礎設施的安全漏洞。其中包括 Sirius XM 遠端資訊處理系統中的一個引人注目的問題，該問題導致多個品牌容易受到遠端駭客攻擊。此外，庫裡先前還發現了起亞車主平台中的一個漏洞，該漏洞使數百萬輛汽車面臨風險。

斯巴魯 Starlink 案例強調了連網汽車生態系統中嚴格安全測試的重要性。隨著物聯網系統在車輛中的日益集成，製造商必須優先考慮強大的網路安全措施，以防止資料外洩和遠端車輛接管。如果不這樣做，駕駛可能會容易受到日益複雜的網路攻擊。