汽车资讯
如果你拥有一辆现代Subaru,你可能听说过Starlink——Subaru的联网服务套件,它允许你通过应用程序控制车辆或呼叫道路救援。然而,这个系统还具有其他功能,你可能并不了解:存储过去一年的车辆位置历史,并通过一个直到最近还对黑客开放的管理面板提供这些信息。”
“渗透测试团队Sam Curry和Shubham Shah发现Starlink管理员控制台存在一个漏洞,黑客可以利用这个漏洞攻破Subaru员工的账户,并获得系统管理员权限。有了这些权限,黑客可以追踪过去一年内车辆的Starlink位置信息,以及执行典型的Starlink应用程序功能:上锁、解锁、地理围栏等。”
“描述这个漏洞涉及阅读大量JavaScript代码,但攻击向量来自Subaru员工账户。Curry和Shubham通过MySubaru应用程序的通信找到了Starlink管理门户的链接,并发现账户密码可以在没有账户持有人确认的情况下重置。他们推断出Subaru电子邮件地址的格式,通过暴力破解网站直到找到一个有效的地址,然后绕过了安全问题提示。这样,他们就成功进入了系统。”
“管理面板允许访问美国、加拿大或日本的任何Subaru车辆。这只需要一个车辆识别号(VIN),Curry和Shubham可以通过车牌号从注册记录中获取。这意味着,任何街上可见车牌的Subaru车辆理论上都可以通过这个漏洞被访问。”
“当然,作为优秀的白帽黑客,Curry和Shubham在漏洞被修复之前没有将其公之于众。他们在去年11月向Subaru报告了这个问题,公司仅用24小时就修复了。然而,仍然无法确定公司是否还存在其他未被发现的访问Starlink管理面板的方式,或者是否有其他联网汽车套件也存在同样的问题。(编辑:卖车180小义)
如果您现在或者未来有卖车计划,可以点击“卖车180”或者扫描下面的微信公众号,卖车180,又快又高价。
