只需一張車牌號，黑客就能遠程操控你的斯巴魯汽車——這不是科幻電影橋段，而是真實存在的安全漏洞。

近日，漏洞賞金獵人Sam Curry與研究伙伴Shubham Shah在斯巴魯的Starlink車聯網服務中發現一個“任意賬戶接管”高危漏洞，攻擊者可借此劫持美國、加拿大、日本三國的斯巴魯車輛，實現遠程跟蹤、解鎖、啟動甚至竊取用戶敏感數據。目前該漏洞已被修復，但汽車行業的網絡安全短板再次暴露無遺。

漏洞殺傷鏈：從車牌到全面接管

2024年11月20日，研究團隊在斯巴魯Starlink管理門戶中發現一個致命漏洞：其“resetPassword.json”API接口允許員工僅憑郵箱即可重置賬戶，無需任何驗證令牌。通過該入口接管員工賬號后，研究人員進一步繞過雙因素認證（2FA）界面——僅需刪除前端彈窗覆蓋層，便直通管理員后臺。

“系統內存在大量端點接口，其中‘車輛搜索’功能尤其危險。”Curry解釋稱，攻擊者可通過車牌號反查車輛VIN碼，或直接輸入用戶姓氏、郵編、郵箱、電話等任一信息，即可無限制訪問目標車輛。在演示視頻中，研究團隊僅用10秒便獲取了一輛斯巴魯汽車過去一年的行駛軌跡，精度達5米級。

一輛車被攻破=用戶全維度隱私裸奔

成功利用該漏洞的黑客可對車輛實施以下操作：

• 遠程操控：啟動/熄火、鎖車/解鎖、實時定位（誤差≤5米）；
• 歷史軌跡追蹤：調取365天內所有行車記錄，每次點火自動更新；
• 用戶數據竊取：緊急聯系人、授權用戶名單、家庭住址、信用卡尾號、車輛PIN碼；
• 深度信息挖掘：客服通話記錄、前任車主信息、里程數、銷售歷史等。

更令人不安的是，研究人員使用朋友的斯巴魯車牌實測發現，攻擊者甚至能通過后臺直接修改車輛訪問權限。“理論上，斯巴魯Starlink管理后臺可操控所有美、加、日市場的車輛。”Curry強調。

車企“漏洞閃電戰”：24小時修復但隱患未除

據披露，斯巴魯在接到報告后24小時內緊急修補漏洞，且尚無證據表明該漏洞遭惡意利用。然而，這已是Curry團隊今年第二次攻破車企防線——此前他們在起亞經銷商門戶中發現類似漏洞，僅憑車牌即可定位并盜取2013年后生產的數百萬輛起亞汽車。

“車企往往優先考慮功能創新，卻將安全置于次要位置。”研究者指出，隨著車聯網滲透率提升，API接口、云端權限管理等環節正成為黑客新靶點。“一旦車企后臺與車輛控制系統直連，任何漏洞都可能演變為物理級攻擊。”

總結：車企的兩大安全頑疾

此次事件暴露出汽車行業的兩大常見安全頑疾：

• 權限管理粗放化：車企員工后臺與用戶數據的隔離措施形同虛設；
• 安全響應被動化：依賴外部白帽黑客“救火”，而非構建主動防御體系。

當前，全球智能網聯汽車市場規模已突破千億美元，但麥肯錫數據顯示，60%車企的網絡安全預算不足IT總投入的5%。當汽車從機械產品進化為“數據樞紐”，行業亟需建立覆蓋研發、運維、應急的全生命周期安全機制——畢竟，沒人希望自己的座駕成為黑客手中的“遙控玩具”。