只需一张车牌号,黑客就能远程操控你的斯巴鲁汽车——这不是科幻电影桥段,而是真实存在的安全漏洞。
近日,漏洞赏金猎人Sam Curry与研究伙伴Shubham Shah在斯巴鲁的Starlink车联网服务中发现一个“任意账户接管”高危漏洞,攻击者可借此劫持美国、加拿大、日本三国的斯巴鲁车辆,实现远程跟踪、解锁、启动甚至窃取用户敏感数据。目前该漏洞已被修复,但汽车行业的网络安全短板再次暴露无遗。
漏洞杀伤链:从车牌到全面接管
2024年11月20日,研究团队在斯巴鲁Starlink管理门户中发现一个致命漏洞:其“resetPassword.json”API接口允许员工仅凭邮箱即可重置账户,无需任何验证令牌。通过该入口接管员工账号后,研究人员进一步绕过双因素认证(2FA)界面——仅需删除前端弹窗覆盖层,便直通管理员后台。
“系统内存在大量端点接口,其中‘车辆搜索’功能尤其危险。”Curry解释称,攻击者可通过车牌号反查车辆VIN码,或直接输入用户姓氏、邮编、邮箱、电话等任一信息,即可无限制访问目标车辆。在演示视频中,研究团队仅用10秒便获取了一辆斯巴鲁汽车过去一年的行驶轨迹,精度达5米级。
一辆车被攻破=用户全维度隐私裸奔
成功利用该漏洞的黑客可对车辆实施以下操作:
- 远程操控:启动/熄火、锁车/解锁、实时定位(误差≤5米);
- 历史轨迹追踪:调取365天内所有行车记录,每次点火自动更新;
- 用户数据窃取:紧急联系人、授权用户名单、家庭住址、信用卡尾号、车辆PIN码;
- 深度信息挖掘:客服通话记录、前任车主信息、里程数、销售历史等。
更令人不安的是,研究人员使用朋友的斯巴鲁车牌实测发现,攻击者甚至能通过后台直接修改车辆访问权限。“理论上,斯巴鲁Starlink管理后台可操控所有美、加、日市场的车辆。”Curry强调。
车企“漏洞闪电战”:24小时修复但隐患未除
据披露,斯巴鲁在接到报告后24小时内紧急修补漏洞,且尚无证据表明该漏洞遭恶意利用。然而,这已是Curry团队今年第二次攻破车企防线——此前他们在起亚经销商门户中发现类似漏洞,仅凭车牌即可定位并盗取2013年后生产的数百万辆起亚汽车。
“车企往往优先考虑功能创新,却将安全置于次要位置。”研究者指出,随着车联网渗透率提升,API接口、云端权限管理等环节正成为黑客新靶点。“一旦车企后台与车辆控制系统直连,任何漏洞都可能演变为物理级攻击。”
总结:车企的两大安全顽疾
此次事件暴露出汽车行业的两大常见安全顽疾:
- 权限管理粗放化:车企员工后台与用户数据的隔离措施形同虚设;
- 安全响应被动化:依赖外部白帽黑客“救火”,而非构建主动防御体系。
当前,全球智能网联汽车市场规模已突破千亿美元,但麦肯锡数据显示,60%车企的网络安全预算不足IT总投入的5%。当汽车从机械产品进化为“数据枢纽”,行业亟需建立覆盖研发、运维、应急的全生命周期安全机制——毕竟,没人希望自己的座驾成为黑客手中的“遥控玩具”。
