斯巴鲁WRX STI所有者入侵了他的汽车软件,发现了潜在的安全问题。他发现他的WRX STI软件系统中存在一些缺陷,可能使其容易受到黑客的攻击。据拥有2017年斯巴鲁WRX STI的独立研究员Aaron Guzman称,他在性能车中发现了八个软件漏洞。这些缺陷可能允许未经授权的用户打开车门,鸣喇叭,获取车辆位置历史记录以及其他源自汽车Starlink帐户的问题。
根据《今日数据破坏》的报道,古兹曼在Starlink令牌中发现了“永久令牌问题”。Subaru移动应用程序使用随机生成的令牌,一旦有人通过身份验证,即可访问该令牌,该令牌应在很短时间后过期,以防止重复使用。相反,该缺陷使Subaru用户可以永久登录。令牌也通过URL发送,并缓存在明文数据库中,即使更改密码后也不会过期。
结果是攻击者知道受害者拥有2017年款的Subaru或Starlink的更高型号,可以捕获令牌并输入其电子邮件地址并从Subaru获取重要信息。然后,他们将拥有与所有者相同的汽车使用权。
斯巴鲁对此做了什么?
访问Torque News主页以获取更多故事。Guzman最初在2016年WRX STI中发现了软件漏洞,并表示他已向斯巴鲁报告了此问题,斯巴鲁本来应该修复此问题,但同一错误仍出现在他的新2017 WRX STI中。他说,斯巴鲁“必须重新合并代码并重新引入漏洞。”
该缺陷已于今年再次报告给了斯巴鲁,据报道该汽车制造商已经做出了回应。古兹曼说,自那以后,大多数缺陷都已得到“修补”,他一直在密切关注已发布的所有更新。
读:2017斯巴鲁WRX / STI荣获ALG“最佳跑车”奖;为什么要等待2018 STI
联网车辆中的安全性问题对于汽车行业而言并不是新问题。2015年,查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)遥控刹车了一辆吉普切诺基,而一名“有线”记者在加利福尼亚的一条高速公路上航行。由于此事件,汽车行业以及美国政府都承认需要做更多的网络安全工作。
斯巴鲁表示,古兹曼发现的缺陷“使他能够访问自己的2017年斯巴鲁WRX STI的帐户数据”,并向ISMG声明,并说对用户的任何风险“是最小的”。斯巴鲁(Subaru)没有“漏洞赏金计划”,但确实将古兹曼(Guzman)的发现归功于他们。他说:“我很高兴能给我荣誉,我只是为了娱乐而做得更多。这是一辆有趣的车。
照片来源:斯巴鲁