斯巴魯WRX STI存軟件漏洞 用戶信息或泄露

核心提示：

據(jù)外媒報道，一位車主利用黑客技術(shù)侵入了斯巴魯WRX STI的車載軟件，他發(fā)現(xiàn)該軟件存在軟件漏洞和安全隱患，易受黑客攻擊。然而，軟件漏洞卻允許斯巴魯用戶處于永久登陸狀態(tài)。該令牌采用URL方式發(fā)送，可在明碼電文（clear-text）數(shù)據(jù)庫中找到該令牌，即使已清除密碼已，該令牌永不過期。

蓋世汽車訊 據(jù)外媒報道，一位車主利用黑客技術(shù)侵入了斯巴魯WRX STI的車載軟件，他發(fā)現(xiàn)該軟件存在軟件漏洞和安全隱患，易受黑客攻擊。黑科技，前瞻技術(shù)，熱點車型，斯巴魯WRX STI軟件漏洞,斯巴魯WRX STI令牌漏洞,斯巴魯軟件遭入侵

用戶發(fā)現(xiàn)軟件漏洞

據(jù)獨立研究員艾倫·古茲曼（Aaron Guzman）表示，他在自己的愛車2017款斯巴魯WRX STI中發(fā)現(xiàn)了8個軟件漏洞（software vulnerabilities），這類漏洞或?qū)⒃试S未經(jīng)授權(quán)的用戶執(zhí)行鎖車門、按喇叭（honk the horn）、獲取車輛的行車位置記錄等操作，還能在侵入車載Starlink賬戶后竊取用戶的賬戶信息。

據(jù)Data Breach Today報道，古茲曼在Starlink令牌中發(fā)現(xiàn)了“永久令牌問題（perma-token problems）”。斯巴魯?shù)腟tarlink采用隨機生成的令牌，允許經(jīng)過認(rèn)證的用戶對其進(jìn)行訪問。理論上講，該認(rèn)證將很快過期，以防止該令牌被重復(fù)使用。然而，軟件漏洞卻允許斯巴魯用戶處于永久登陸狀態(tài)。該令牌采用URL方式發(fā)送，可在明碼電文（clear-text）數(shù)據(jù)庫中找到該令牌，即使已清除密碼已，該令牌永不過期。

其結(jié)果就是，若黑客知道受害人擁有一臺2017款斯巴魯或配置了Starlink技術(shù)的新款車型，或許他能夠截取令牌并訪問車主們的郵件，然后從斯巴魯車載系統(tǒng)內(nèi)獲得用戶的關(guān)鍵信息。這樣，他們就能和車主一樣，訪問斯巴魯車型的軟件系統(tǒng)。

斯巴魯?shù)膽?yīng)對

最初，古茲曼發(fā)現(xiàn)2016款斯巴魯WRX STI車型存在該軟件漏洞，他表示曾將該問題上報給了斯巴魯，據(jù)稱對方已修復(fù)了該漏洞。然而，同樣的軟件漏洞卻再次出現(xiàn)在了2017款WRX STI車型上。他表示：“斯巴魯務(wù)必再次合并代碼，重新修復(fù)漏洞。”

今年，古茲曼將該漏洞重新上報給斯巴魯，據(jù)稱已得到了斯巴魯?shù)姆e極回應(yīng)。然而，古茲曼表示，大多數(shù)的軟件漏洞已通過軟件補丁修復(fù)，他將持續(xù)關(guān)注斯巴魯發(fā)布的官方升級程序。

斯巴魯表示，古茲曼利用他發(fā)現(xiàn)的軟件漏洞，成功訪問了2017款斯巴魯WRX STI的賬戶數(shù)據(jù)。而斯巴魯始終致力于將用戶的風(fēng)險降至最低，盡管公司并未設(shè)置“漏洞獎勵計劃（bug bounty program）”，但斯巴魯將給予古茲曼獎勵，鼓勵他繼續(xù)尋找該車型的軟件漏洞。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。