斯巴魯WRX STI存軟件漏洞 用戶信息或泄露

核心提示：

據(jù)外媒報(bào)道，一位車主利用黑客技術(shù)侵入了斯巴魯WRX STI的車載軟件，他發(fā)現(xiàn)該軟件存在軟件漏洞和安全隱患，易受黑客攻擊。然而，軟件漏洞卻允許斯巴魯用戶處于永久登陸狀態(tài)。該令牌采用URL方式發(fā)送，可在明碼電文（clear-text）數(shù)據(jù)庫(kù)中找到該令牌，即使已清除密碼已，該令牌永不過(guò)期。

蓋世汽車訊 據(jù)外媒報(bào)道，一位車主利用黑客技術(shù)侵入了斯巴魯WRX STI的車載軟件，他發(fā)現(xiàn)該軟件存在軟件漏洞和安全隱患，易受黑客攻擊。黑科技，前瞻技術(shù)，熱點(diǎn)車型，斯巴魯WRX STI軟件漏洞,斯巴魯WRX STI令牌漏洞,斯巴魯軟件遭入侵

用戶發(fā)現(xiàn)軟件漏洞

據(jù)獨(dú)立研究員艾倫·古茲曼（Aaron Guzman）表示，他在自己的愛(ài)車2017款斯巴魯WRX STI中發(fā)現(xiàn)了8個(gè)軟件漏洞（software vulnerabilities），這類漏洞或?qū)⒃试S未經(jīng)授權(quán)的用戶執(zhí)行鎖車門、按喇叭（honk the horn）、獲取車輛的行車位置記錄等操作，還能在侵入車載Starlink賬戶后竊取用戶的賬戶信息。

據(jù)Data Breach Today報(bào)道，古茲曼在Starlink令牌中發(fā)現(xiàn)了“永久令牌問(wèn)題（perma-token problems）”。斯巴魯?shù)腟tarlink采用隨機(jī)生成的令牌，允許經(jīng)過(guò)認(rèn)證的用戶對(duì)其進(jìn)行訪問(wèn)。理論上講，該認(rèn)證將很快過(guò)期，以防止該令牌被重復(fù)使用。然而，軟件漏洞卻允許斯巴魯用戶處于永久登陸狀態(tài)。該令牌采用URL方式發(fā)送，可在明碼電文（clear-text）數(shù)據(jù)庫(kù)中找到該令牌，即使已清除密碼已，該令牌永不過(guò)期。

其結(jié)果就是，若黑客知道受害人擁有一臺(tái)2017款斯巴魯或配置了Starlink技術(shù)的新款車型，或許他能夠截取令牌并訪問(wèn)車主們的郵件，然后從斯巴魯車載系統(tǒng)內(nèi)獲得用戶的關(guān)鍵信息。這樣，他們就能和車主一樣，訪問(wèn)斯巴魯車型的軟件系統(tǒng)。

斯巴魯?shù)膽?yīng)對(duì)

最初，古茲曼發(fā)現(xiàn)2016款斯巴魯WRX STI車型存在該軟件漏洞，他表示曾將該問(wèn)題上報(bào)給了斯巴魯，據(jù)稱對(duì)方已修復(fù)了該漏洞。然而，同樣的軟件漏洞卻再次出現(xiàn)在了2017款WRX STI車型上。他表示：“斯巴魯務(wù)必再次合并代碼，重新修復(fù)漏洞?！?/p>

今年，古茲曼將該漏洞重新上報(bào)給斯巴魯，據(jù)稱已得到了斯巴魯?shù)姆e極回應(yīng)。然而，古茲曼表示，大多數(shù)的軟件漏洞已通過(guò)軟件補(bǔ)丁修復(fù)，他將持續(xù)關(guān)注斯巴魯發(fā)布的官方升級(jí)程序。

斯巴魯表示，古茲曼利用他發(fā)現(xiàn)的軟件漏洞，成功訪問(wèn)了2017款斯巴魯WRX STI的賬戶數(shù)據(jù)。而斯巴魯始終致力于將用戶的風(fēng)險(xiǎn)降至最低，盡管公司并未設(shè)置“漏洞獎(jiǎng)勵(lì)計(jì)劃（bug bounty program）”，但斯巴魯將給予古茲曼獎(jiǎng)勵(lì)，鼓勵(lì)他繼續(xù)尋找該車型的軟件漏洞。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。