據(jù)Cyber Security News消息，斯巴魯STARLINK互聯(lián)汽車服務(wù)中心在2024年底被發(fā)現(xiàn)一個關(guān)鍵漏洞，美國、加拿大和日本的數(shù)百萬輛汽車和車主賬戶可能受到網(wǎng)絡(luò)攻擊。

該安全漏洞允許攻擊者使用最少的信息（如姓氏和郵政編碼、電子郵件地址、電話號碼或車牌）遠(yuǎn)程訪問敏感的車輛和個人數(shù)據(jù)，包括：

• 遠(yuǎn)程啟動、停止、鎖定和解鎖車輛。
• 訪問實時車輛位置并檢索過去一年的詳細(xì)位置歷史記錄。
• 提取客戶的個人身份信息 （PII），包括地址、賬單詳細(xì)信息（部分信用卡信息）、緊急聯(lián)系人和車輛 PIN。
• 查詢其他用戶數(shù)據(jù)，例如支持呼叫歷史記錄、里程表讀數(shù)、銷售記錄等。

研究人員通過僅使用車牌號成功接管車輛證明了這種漏洞的危害性。他們還從一輛測試車輛中檢索了一年多的精確位置數(shù)據(jù)，這些數(shù)據(jù)包括每次發(fā)動機啟動時更新的數(shù)千個 GPS 坐標(biāo)。

漏洞發(fā)現(xiàn)過程

研究人員最初檢查了斯巴魯?shù)?MySubaru 移動應(yīng)用程序，發(fā)現(xiàn)其十分安全，便將重點轉(zhuǎn)移到面向員工的系統(tǒng)上，他們通過子域掃描發(fā)現(xiàn)了 STARLINK 服務(wù)的管理門戶。 起初，該網(wǎng)站似乎沒有太多內(nèi)容，只有一個登錄面板，并且沒有任何可用的憑據(jù)。

然而，在研究網(wǎng)站的源代碼時，發(fā)現(xiàn) /assets/_js/ 文件夾中有一些 JavaScript 文件。 為了深入挖掘，研究人員對該目錄進(jìn)行了暴力破解。在一個名為 login.js 的文件中，發(fā)現(xiàn)有段代碼可以在無需任何令牌的條件下重置員工賬戶。因此，攻擊者可以使用任何有效的員工電子郵件進(jìn)行賬戶接管。

為了驗證這一點，研究人員發(fā)送了一個 POST 請求，以檢查該功能是否已暴露并處于運行狀態(tài)。 該門戶網(wǎng)站包含一個密碼重置端點，允許在不需要確認(rèn)令牌的情況下接管賬戶。 利用 LinkedIn 和其他來源的公開信息，他們確定了有效的員工電子郵件地址，從而利用了這一漏洞。

進(jìn)入管理系統(tǒng)后，研究人員通過禁用客戶端安全覆蓋，繞過了雙因素身份驗證（2FA），進(jìn)而可以不受限制地訪問 STARLINK 的后臺功能，包括查看和導(dǎo)出任何已連接斯巴魯車輛的詳細(xì)位置歷史記錄、使用郵政編碼或車輛識別碼等基本標(biāo)識符搜索車主帳戶、在不通知車主的情況下為車輛添加未經(jīng)授權(quán)的用戶。

為了進(jìn)一步驗證其發(fā)現(xiàn)，研究人員在朋友的汽車上測試了他們獲得的訪問權(quán)限，最終成功地遠(yuǎn)程解鎖了車輛且沒有觸發(fā)任何警報或通知。

研究人員于 2024 年 11 月 20 日向斯巴魯報告了該漏洞，并在次日就得到了修復(fù)。據(jù)研究人員稱，沒有證據(jù)表明該漏洞在修補之前被惡意利用。

這一事件凸顯了人們對聯(lián)網(wǎng)汽車網(wǎng)絡(luò)安全的廣泛擔(dān)憂，這些車輛收集了大量數(shù)據(jù)，并依賴于難以全面保障安全的互聯(lián)系統(tǒng)。 研究人員指出，作為日常工作的一部分，員工通常可以廣泛訪問敏感信息，這使得此類系統(tǒng)本身就很脆弱。