斯巴鲁被曝存在安全漏洞:通过员工网站可控制车辆,官方火速修复
IT之家 1 月 26 日消息,斯巴鲁近期被曝出一起严重的安全漏洞,虽然漏洞已经修复,但仍暴露了当前汽车在隐私保护方面的重大问题。
据 Engadget 昨日报道,安全研究人员 Sam Curry 和 Shubham Shah 发现,斯巴鲁的员工网页门户存在安全隐患,黑客可以通过该漏洞远程控制车辆并查看位置数据。研究人员警告称,斯巴鲁并非唯一存在车辆数据安全问题的公司,其他品牌也可能面临类似漏洞。
漏洞被发现后,斯巴鲁迅速进行修复。幸运的是,研究人员表示,漏洞修复前未曾有黑客利用该漏洞。然而,研究人员指出,斯巴鲁的授权员工依然能够通过简单的信息(IT之家注:如车主姓氏、邮政编码、电子邮件、电话号码或车牌号)访问车主的位置信息。
该漏洞出现在斯巴鲁名为“Starlink”的服务中。研究人员通过在领英上找到斯巴鲁员工的电子邮件地址,绕过了两个安全问题重置了密码,并绕过了双重身份验证。尽管他们追踪了测试车辆一年的位置数据,但无法确认员工是否能追溯到更早的数据。
此外,管理员门户允许研究人员远程控制车辆,包括启动、停止、锁车和解锁。然而,Curry 的母亲并未收到任何解锁通知。研究人员还能够访问车主的敏感信息,如紧急联系人、信用卡信息和车辆 PIN 码等。
斯巴鲁发言人表示,漏洞已经被修复,并强调未曾发生未经授权的数据访问。公司还指出,只有部分授权员工才能访问车主的位置信息。研究人员则表示,类似的漏洞在多个汽车品牌中普遍存在,暴露了汽车行业在数据安全和隐私保护方面的严重漏洞。
相关知识
揭秘汽车BMS系统的信息安全攻防战,从电池管理到网络安全的全面解析
成人玩具商被曝安全漏洞上热搜,国内现存超137万家情趣用品相关企业
车辆安全应急演练总结(通用14篇)
中国网络空间安全协会发文呼吁安全审查英特尔产品:漏洞频发、故障率高
中国网络空间安全协会发文呼吁安全审查英特尔产品
美军仓库失窃事件曝光:管理漏洞成焦点,安全问题
巴士集团全力做好疫情防控和复工交通保障 为市民提供安全健康的公交出行服务
警方调查斗鱼TV直播“造人” 网络直播存在监管漏洞
360 推出了「汽车卫士」,能保卫你汽车的安全吗?
揭秘网络安全漏洞及其利用实例
网址: 斯巴鲁被曝存在安全漏洞:通过员工网站可控制车辆,官方火速修复 https://m.trfsz.com/newsview1816819.html
