近日,斯巴鲁汽车被曝出遭遇了一起严重的安全漏洞事件。这次的事件引发了公众对汽车网络安全问题的关注度急剧上升。发现这一安全隐患的是两位资深安全研究人员SamCurry和ShubhamShah,他们在对斯巴鲁系统进行安全检测时意外发现了其员工网页门户存在严重的安全隐患。
经过深入调查后发现,黑客利用该漏洞可以实现远程控制车辆进行危险操作,并且还能轻松查看车辆的位置数据。这一漏洞源于斯巴鲁旗下名为“Starlink”的服务。最初,“Starlink”旨在为用户提供更便捷、智能的出行体验,但不幸成为黑客觊觎的目标。
研究人员在领英上成功获取了斯巴鲁员工的电子邮箱地址,并利用这些信息绕过了系统设置的两个关键安全问题,轻松完成了密码重置操作。更为严重的是,他们还绕过了通常被视为安全保障的双重身份验证机制,得以深入系统内部。
通过一系列操作,研究人员获得了远超想象的权限。他们持续追踪测试车辆位置数据长达一年之久,在定位误差极小的情况下几乎可以精确到5米范围内。车主的敏感信息也被暴露无遗,如紧急联系人的详细信息、信用卡的关键数据以及车辆PIN码等都在黑客可获取范围内。甚至连车辆的启动、停止、锁车和解锁等基本操作,黑客都能通过远程控制来实现。
幸运的是,在漏洞曝光后,斯巴鲁方面迅速采取了行动。公司发言人公开表示漏洞已经成功修复,并强调修复前未发生任何未经授权的数据访问情况。同时,斯巴鲁解释称只有经过部分授权的员工才有资格访问车主位置信息以表明公司在数据管理方面的安全性。
然而这次事件并非孤立存在。研究人员SamCurry和ShubhamShah发出警告说整个汽车行业可能都面临类似的安全风险。这起事件深刻地揭示了汽车行业在数据安全和隐私保护方面存在的重大隐患。未来各大车企恐怕都需要重新审视并加强自身的网络安全防护体系以避免类似的危机再次发生。
