據(jù)Cyber Security News消息，斯巴魯STARLINK互聯(lián)汽車服務(wù)中心在2024年底被發(fā)現(xiàn)一個(gè)關(guān)鍵漏洞，美國(guó)、加拿大和日本的數(shù)百萬(wàn)輛汽車和車主賬戶可能受到網(wǎng)絡(luò)攻擊。

該安全漏洞允許攻擊者使用最少的信息（如姓氏和郵政編碼、電子郵件地址、電話號(hào)碼或車牌）遠(yuǎn)程訪問(wèn)敏感的車輛和個(gè)人數(shù)據(jù)，包括：

• 遠(yuǎn)程啟動(dòng)、停止、鎖定和解鎖車輛。
• 訪問(wèn)實(shí)時(shí)車輛位置并檢索過(guò)去一年的詳細(xì)位置歷史記錄。
• 提取客戶的個(gè)人身份信息 （PII），包括地址、賬單詳細(xì)信息（部分信用卡信息）、緊急聯(lián)系人和車輛 PIN。
• 查詢其他用戶數(shù)據(jù)，例如支持呼叫歷史記錄、里程表讀數(shù)、銷售記錄等。

研究人員通過(guò)僅使用車牌號(hào)成功接管車輛證明了這種漏洞的危害性。他們還從一輛測(cè)試車輛中檢索了一年多的精確位置數(shù)據(jù)，這些數(shù)據(jù)包括每次發(fā)動(dòng)機(jī)啟動(dòng)時(shí)更新的數(shù)千個(gè) GPS 坐標(biāo)。

漏洞發(fā)現(xiàn)過(guò)程

研究人員最初檢查了斯巴魯?shù)?MySubaru 移動(dòng)應(yīng)用程序，發(fā)現(xiàn)其十分安全，便將重點(diǎn)轉(zhuǎn)移到面向員工的系統(tǒng)上，他們通過(guò)子域掃描發(fā)現(xiàn)了 STARLINK 服務(wù)的管理門戶。 起初，該網(wǎng)站似乎沒(méi)有太多內(nèi)容，只有一個(gè)登錄面板，并且沒(méi)有任何可用的憑據(jù)。

然而，在研究網(wǎng)站的源代碼時(shí)，發(fā)現(xiàn) /assets/_js/ 文件夾中有一些 JavaScript 文件。 為了深入挖掘，研究人員對(duì)該目錄進(jìn)行了暴力破解。在一個(gè)名為 login.js 的文件中，發(fā)現(xiàn)有段代碼可以在無(wú)需任何令牌的條件下重置員工賬戶。因此，攻擊者可以使用任何有效的員工電子郵件進(jìn)行賬戶接管。

為了驗(yàn)證這一點(diǎn)，研究人員發(fā)送了一個(gè) POST 請(qǐng)求，以檢查該功能是否已暴露并處于運(yùn)行狀態(tài)。 該門戶網(wǎng)站包含一個(gè)密碼重置端點(diǎn)，允許在不需要確認(rèn)令牌的情況下接管賬戶。 利用 LinkedIn 和其他來(lái)源的公開(kāi)信息，他們確定了有效的員工電子郵件地址，從而利用了這一漏洞。

進(jìn)入管理系統(tǒng)后，研究人員通過(guò)禁用客戶端安全覆蓋，繞過(guò)了雙因素身份驗(yàn)證（2FA），進(jìn)而可以不受限制地訪問(wèn) STARLINK 的后臺(tái)功能，包括查看和導(dǎo)出任何已連接斯巴魯車輛的詳細(xì)位置歷史記錄、使用郵政編碼或車輛識(shí)別碼等基本標(biāo)識(shí)符搜索車主帳戶、在不通知車主的情況下為車輛添加未經(jīng)授權(quán)的用戶。

為了進(jìn)一步驗(yàn)證其發(fā)現(xiàn)，研究人員在朋友的汽車上測(cè)試了他們獲得的訪問(wèn)權(quán)限，最終成功地遠(yuǎn)程解鎖了車輛且沒(méi)有觸發(fā)任何警報(bào)或通知。

研究人員于 2024 年 11 月 20 日向斯巴魯報(bào)告了該漏洞，并在次日就得到了修復(fù)。據(jù)研究人員稱，沒(méi)有證據(jù)表明該漏洞在修補(bǔ)之前被惡意利用。

這一事件凸顯了人們對(duì)聯(lián)網(wǎng)汽車網(wǎng)絡(luò)安全的廣泛擔(dān)憂，這些車輛收集了大量數(shù)據(jù)，并依賴于難以全面保障安全的互聯(lián)系統(tǒng)。 研究人員指出，作為日常工作的一部分，員工通?？梢詮V泛訪問(wèn)敏感信息，這使得此類系統(tǒng)本身就很脆弱。