核心提示:
据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。
盖世汽车讯 据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。黑科技,前瞻技术,热点车型,斯巴鲁WRX STI软件漏洞,斯巴鲁WRX STI令牌漏洞,斯巴鲁软件遭入侵
用户发现软件漏洞
据独立研究员艾伦·古兹曼(Aaron Guzman)表示,他在自己的爱车2017款斯巴鲁WRX STI中发现了8个软件漏洞(software vulnerabilities),这类漏洞或将允许未经授权的用户执行锁车门、按喇叭(honk the horn)、获取车辆的行车位置记录等操作,还能在侵入车载Starlink账户后窃取用户的账户信息。
据Data Breach Today报道,古兹曼在Starlink令牌中发现了“永久令牌问题(perma-token problems)”。斯巴鲁的Starlink采用随机生成的令牌,允许经过认证的用户对其进行访问。理论上讲,该认证将很快过期,以防止该令牌被重复使用。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。
其结果就是,若黑客知道受害人拥有一台2017款斯巴鲁或配置了Starlink技术的新款车型,或许他能够截取令牌并访问车主们的邮件,然后从斯巴鲁车载系统内获得用户的关键信息。这样,他们就能和车主一样,访问斯巴鲁车型的软件系统。
斯巴鲁的应对
最初,古兹曼发现2016款斯巴鲁WRX STI车型存在该软件漏洞,他表示曾将该问题上报给了斯巴鲁,据称对方已修复了该漏洞。然而,同样的软件漏洞却再次出现在了2017款WRX STI车型上。他表示:“斯巴鲁务必再次合并代码,重新修复漏洞。”
今年,古兹曼将该漏洞重新上报给斯巴鲁,据称已得到了斯巴鲁的积极回应。然而,古兹曼表示,大多数的软件漏洞已通过软件补丁修复,他将持续关注斯巴鲁发布的官方升级程序。
斯巴鲁表示,古兹曼利用他发现的软件漏洞,成功访问了2017款斯巴鲁WRX STI的账户数据。而斯巴鲁始终致力于将用户的风险降至最低,尽管公司并未设置“漏洞奖励计划(bug bounty program)”,但斯巴鲁将给予古兹曼奖励,鼓励他继续寻找该车型的软件漏洞。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- Crunchbase:2024年AI网络安全行业风险投资超过26亿美元
- 调查报告:AI与云重塑IT格局,77%的IT领导者视网络安全为首要挑战
- 长江存储发布声明:从无“借壳上市”意愿
- 泛微·数智大脑Xiaoe.AI正式发布,千人现场体验数智化运营场景
- IDC:2024年第三季度北美IT分销商收入增长至202亿美元
- AI成为双刃剑!凯捷调查:97%组织遭遇过GenAI漏洞攻击
- openEuler开源五年树立新里程碑,累计装机量突破1000万
- 创想 华彩新程!2024柯尼卡美能达媒体沟通会焕新增长之道
- 操作系统大会2024即将在京召开,见证openEuler发展新里程
- Gartner:AI引领欧洲IT支出激增,2025年将支出1.28万亿美元
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。