IT之家 1 月 26 日消息,斯巴鲁最近被曝出一块紧急的安全漏洞,虽然漏洞已经修复,但仍暴露了目前汽车在隐私保护方面的重大问题。
据 Engadget 昨日报道,安全研究职员 Sam Curry 和 Shubham Shah 发现,斯巴鲁的职员网页门户存在安全隐患,黑客可以通过该漏洞远程控制汽车并查询地方数据。研究职员警告称,斯巴鲁并不是唯一存在汽车数据安全问题的公司,其他品牌也会面临类似漏洞。
漏洞被发现后,斯巴鲁飞速进行修复。幸运的是,研究职员表示,漏洞修复前未曾有黑客借助该漏洞。然而,研究职员指出,斯巴鲁的授权职员依旧可以通过简单的信息访问用户的地方信息。
该漏洞出目前斯巴鲁名为“Starlink”的服务中。研究职员通过在领英上找到斯巴鲁职员的邮件地址,绕过了两个安全问题重置了密码,并绕过了双重身份验证。尽管他们追踪了测试汽车一年的地方数据,但没办法确认职员是不是能追溯到更早的数据。
除此之外,管理员门户允许研究职员远程控制汽车,包含启动、停止、锁车和解锁。然而,Curry 的妈妈并未收到任何解锁公告。研究职员还可以访问用户的敏锐信息,如紧急联系人、信用卡信息和汽车 PIN 码等。
斯巴鲁发言人表示,漏洞已经被修复,并强调未曾发生未经授权的数据访问。公司还指出,只有部分授权职员才能访问用户的地方信息。研究职员则表示,类似的漏洞在多个汽车品牌中常见存在,暴露了汽车行业在数据安全和隐私保护方面的紧急漏洞。