據Cyber Security News消息，斯巴魯STARLINK互聯汽車服務中心在2024年底被發現一個關鍵漏洞，美國、加拿大和日本的數百萬輛汽車和車主賬戶可能受到網絡攻擊。

該安全漏洞允許攻擊者使用最少的信息（如姓氏和郵政編碼、電子郵件地址、電話號碼或車牌）遠程訪問敏感的車輛和個人數據，包括：

• 遠程啟動、停止、鎖定和解鎖車輛。
• 訪問實時車輛位置并檢索過去一年的詳細位置歷史記錄。
• 提取客戶的個人身份信息 （PII），包括地址、賬單詳細信息（部分信用卡信息）、緊急聯系人和車輛 PIN。
• 查詢其他用戶數據，例如支持呼叫歷史記錄、里程表讀數、銷售記錄等。

研究人員通過僅使用車牌號成功接管車輛證明了這種漏洞的危害性。他們還從一輛測試車輛中檢索了一年多的精確位置數據，這些數據包括每次發動機啟動時更新的數千個 GPS 坐標。

漏洞發現過程

研究人員最初檢查了斯巴魯的 MySubaru 移動應用程序，發現其十分安全，便將重點轉移到面向員工的系統上，他們通過子域掃描發現了 STARLINK 服務的管理門戶。 起初，該網站似乎沒有太多內容，只有一個登錄面板，并且沒有任何可用的憑據。

然而，在研究網站的源代碼時，發現 /assets/_js/ 文件夾中有一些 JavaScript 文件。 為了深入挖掘，研究人員對該目錄進行了暴力破解。在一個名為 login.js 的文件中，發現有段代碼可以在無需任何令牌的條件下重置員工賬戶。因此，攻擊者可以使用任何有效的員工電子郵件進行賬戶接管。

為了驗證這一點，研究人員發送了一個 POST 請求，以檢查該功能是否已暴露并處于運行狀態。 該門戶網站包含一個密碼重置端點，允許在不需要確認令牌的情況下接管賬戶。 利用 LinkedIn 和其他來源的公開信息，他們確定了有效的員工電子郵件地址，從而利用了這一漏洞。

進入管理系統后，研究人員通過禁用客戶端安全覆蓋，繞過了雙因素身份驗證（2FA），進而可以不受限制地訪問 STARLINK 的后臺功能，包括查看和導出任何已連接斯巴魯車輛的詳細位置歷史記錄、使用郵政編碼或車輛識別碼等基本標識符搜索車主帳戶、在不通知車主的情況下為車輛添加未經授權的用戶。

為了進一步驗證其發現，研究人員在朋友的汽車上測試了他們獲得的訪問權限，最終成功地遠程解鎖了車輛且沒有觸發任何警報或通知。

研究人員于 2024 年 11 月 20 日向斯巴魯報告了該漏洞，并在次日就得到了修復。據研究人員稱，沒有證據表明該漏洞在修補之前被惡意利用。

這一事件凸顯了人們對聯網汽車網絡安全的廣泛擔憂，這些車輛收集了大量數據，并依賴于難以全面保障安全的互聯系統。 研究人員指出，作為日常工作的一部分，員工通常可以廣泛訪問敏感信息，這使得此類系統本身就很脆弱。