IT之家 1 月 26 日消息,斯巴鲁近期被曝出一起严重的安全漏洞,虽然漏洞已经修复,但仍暴露了当前汽车在隐私保护方面的重大问题。
据 Engadget 昨日报道,安全研究人员 Sam Curry 和 Shubham Shah 发现,斯巴鲁的员工网页门户存在安全隐患,黑客可以通过该漏洞远程控制车辆并查看位置数据。研究人员警告称,斯巴鲁并非唯一存在车辆数据安全问题的公司,其他品牌也可能面临类似漏洞。
漏洞被发现后,斯巴鲁迅速进行修复。幸运的是,研究人员表示,漏洞修复前未曾有黑客利用该漏洞。然而,研究人员指出,斯巴鲁的授权员工依然能够通过简单的信息(IT之家注:如车主姓氏、邮政编码、电子邮件、电话号码或车牌号)访问车主的位置信息。
该漏洞出现在斯巴鲁名为“Starlink”的服务中。研究人员通过在领英上找到斯巴鲁员工的电子邮件地址,绕过了两个安全问题重置了密码,并绕过了双重身份验证。尽管他们追踪了测试车辆一年的位置数据,但无法确认员工是否能追溯到更早的数据。
此外,管理员门户允许研究人员远程控制车辆,包括启动、停止、锁车和解锁。然而,Curry 的母亲并未收到任何解锁通知。研究人员还能够访问车主的敏感信息,如紧急联系人、信用卡信息和车辆 PIN 码等。
斯巴鲁发言人表示,漏洞已经被修复,并强调未曾发生未经授权的数据访问。公司还指出,只有部分授权员工才能访问车主的位置信息。研究人员则表示,类似的漏洞在多个汽车品牌中普遍存在,暴露了汽车行业在数据安全和隐私保护方面的严重漏洞。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。