斯巴鲁WRX STI存软件漏洞 用户信息或泄露

核心提示:

据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。

盖世汽车讯 据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。黑科技,前瞻技术,热点车型,斯巴鲁WRX STI软件漏洞,斯巴鲁WRX STI令牌漏洞,斯巴鲁软件遭入侵

用户发现软件漏洞

据独立研究员艾伦·古兹曼(Aaron Guzman)表示,他在自己的爱车2017款斯巴鲁WRX STI中发现了8个软件漏洞(software vulnerabilities),这类漏洞或将允许未经授权的用户执行锁车门、按喇叭(honk the horn)、获取车辆的行车位置记录等操作,还能在侵入车载Starlink账户后窃取用户的账户信息。

据Data Breach Today报道,古兹曼在Starlink令牌中发现了“永久令牌问题(perma-token problems)”。斯巴鲁的Starlink采用随机生成的令牌,允许经过认证的用户对其进行访问。理论上讲,该认证将很快过期,以防止该令牌被重复使用。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。

其结果就是,若黑客知道受害人拥有一台2017款斯巴鲁或配置了Starlink技术的新款车型,或许他能够截取令牌并访问车主们的邮件,然后从斯巴鲁车载系统内获得用户的关键信息。这样,他们就能和车主一样,访问斯巴鲁车型的软件系统。

斯巴鲁的应对

最初,古兹曼发现2016款斯巴鲁WRX STI车型存在该软件漏洞,他表示曾将该问题上报给了斯巴鲁,据称对方已修复了该漏洞。然而,同样的软件漏洞却再次出现在了2017款WRX STI车型上。他表示:“斯巴鲁务必再次合并代码,重新修复漏洞。”

今年,古兹曼将该漏洞重新上报给斯巴鲁,据称已得到了斯巴鲁的积极回应。然而,古兹曼表示,大多数的软件漏洞已通过软件补丁修复,他将持续关注斯巴鲁发布的官方升级程序。

斯巴鲁表示,古兹曼利用他发现的软件漏洞,成功访问了2017款斯巴鲁WRX STI的账户数据。而斯巴鲁始终致力于将用户的风险降至最低,尽管公司并未设置“漏洞奖励计划(bug bounty program)”,但斯巴鲁将给予古兹曼奖励,鼓励他继续寻找该车型的软件漏洞。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-06-13
斯巴鲁WRX STI存软件漏洞 用户信息或泄露
据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。

长按扫码 阅读全文