斯巴鲁汽车出现漏洞 可实现远程启动

据外媒消息，安全研究员Sam Curry昨天发布文章称，去年11月发现了斯巴鲁 STARLINK 联网汽车服务存在严重漏洞，美国、加拿大和日本数百万车辆及客户账户，都面临着潜在网络攻击风险。攻击者利用该漏洞，仅靠姓氏、邮编、邮箱、电话或车牌号等少量信息，不仅能远程控制车辆启动、停止、锁定和解锁，还能获取车辆实时位置，掌握过去一年详细位置历史，甚至提取客户个人信息，查询销售记录、支持通话记录等更多用户数据。研究人员起初检查 MySubaru 移动应用，未发现问题，之后通过子域名扫描，在面向员工的系统中找到 STARLINK 服务管理门户，发现能利用密码重置端点接管员工账户，还可绕过双因素认证，进而获取后台功能权限。车企了解漏洞信息后反应迅速，24 小时内成功修复漏洞。目前没有证据表明漏洞在修复前被恶意利用，但这一事件仍给整个联网汽车行业敲响警钟。