斯巴鲁曝关键漏洞，凭车牌号可远程入侵汽车

据Cyber Security News消息，斯巴鲁STARLINK互联汽车服务中心在2024年底被发现一个关键漏洞，美国、加拿大和日本的数百万辆汽车和车主账户可能受到网络攻击。

该安全漏洞允许攻击者使用最少的信息（如姓氏和邮政编码、电子邮件地址、电话号码或车牌）远程访问敏感的车辆和个人数据，包括：

• 远程启动、停止、锁定和解锁车辆。

• 访问实时车辆位置并检索过去一年的详细位置历史记录。

• 提取客户的个人身份信息 （PII），包括地址、账单详细信息（部分信用卡信息）、紧急联系人和车辆 PIN。

• 查询其他用户数据，例如支持呼叫历史记录、里程表读数、销售记录等。

研究人员通过仅使用车牌号成功接管车辆证明了这种漏洞的危害性。他们还从一辆测试车辆中检索了一年多的精确位置数据，这些数据包括每次发动机启动时更新的数千个 GPS 坐标。

研究人员最初检查了斯巴鲁的 MySubaru 移动应用程序，发现其十分安全，便将重点转移到面向员工的系统上，他们通过子域扫描发现了 STARLINK 服务的管理门户。起初，该网站似乎没有太多内容，只有一个登录面板，并且没有任何可用的凭据。

然而，在研究网站的源代码时，发现 /assets/_js/ 文件夹中有一些 JavaScript 文件。为了深入挖掘，研究人员对该目录进行了暴力破解。在一个名为 login.js 的文件中，发现有段代码可以在无需任何令牌的条件下重置员工账户。因此，攻击者可以使用任何有效的员工电子邮件进行账户接管。

为了验证这一点，研究人员发送了一个 POST 请求，以检查该功能是否已暴露并处于运行状态。该门户网站包含一个密码重置端点，允许在不需要确认令牌的情况下接管账户。利用 LinkedIn 和其他来源的公开信息，他们确定了有效的员工电子邮件地址，从而利用了这一漏洞。

进入管理系统后，研究人员通过禁用客户端安全覆盖，绕过了双因素身份验证（2FA），进而可以不受限制地访问 STARLINK 的后台功能，包括查看和导出任何已连接斯巴鲁车辆的详细位置历史记录、使用邮政编码或车辆识别码等基本标识符搜索车主帐户、在不通知车主的情况下为车辆添加未经授权的用户。

为了进一步验证其发现，研究人员在朋友的汽车上测试了他们获得的访问权限，最终成功地远程解锁了车辆且没有触发任何警报或通知。

研究人员于 2024 年 11 月 20 日向斯巴鲁报告了该漏洞，并在次日就得到了修复。据研究人员称，没有证据表明该漏洞在修补之前被恶意利用。

这一事件凸显了人们对联网汽车网络安全的广泛担忧，这些车辆收集了大量数据，并依赖于难以全面保障安全的互联系统。研究人员指出，作为日常工作的一部分，员工通常可以广泛访问敏感信息，使得此类系统本身较为脆弱。