汽车资讯
研究人员去年年底发现斯巴鲁Starlink系统存在严重的安全漏洞,该漏洞允许访问包括位置、紧急联系人、通话记录等在内的私人数据。尽管斯巴鲁在24小时内修复了这一漏洞,但更广泛的数据隐私问题仍未解决。联网汽车存储的数据量如此之大,几乎可以被视为移动的监控设备。现在,研究人员揭示了一个新的安全漏洞,通过斯巴鲁Starlink技术,他们能够访问敏感数据。虽然斯巴鲁迅速修复了这一问题,但这一事件引发了关于联网车辆时代私人数据是否真正私密的不安问题。
更严重的是,研究人员Sam Curry和他的团队在2024年11月测试他母亲的2023年款斯巴鲁伊普雷扎时发现了这一漏洞。该漏洞使他们能够访问车辆的完整位置历史记录,而不仅仅是某一时刻,而是整年。Curry表示,这些信息如此详细,他甚至能追踪到他母亲的医生访问记录、朋友的家以及她每次去教堂时使用的具体停车位。
“你可以获取至少一年的车辆位置历史记录,精确到一天多次更新,”Curry在接受《连线》杂志采访时说。“无论有人在欺骗妻子、堕胎还是参与某个政治团体,你都可以利用这些信息对付他们。”
更糟糕的是,Curry和他的同事Shubham Shah发现了一个斯巴鲁员工网站的弱点,这使他们能够接管员工账户,进而控制车辆的Starlink功能并访问大量个人信息,包括客户姓名、紧急联系人、家庭住址以及车辆PIN码。他们甚至可以远程解锁车辆、启动车辆并浏览通话记录。这真是糟糕透了。
一个足以让车辆通过的安全漏洞
黑客不需要超级计算机或科幻设备就能做到这一切。他们只需要受害者的姓氏、车辆牌照、车主的邮政编码、电话号码或电子邮件地址。黑客将这些信息输入一个专门为斯巴鲁员工设计的网站,以帮助Starlink用户。他们通过一系列基于理论并最终被证实的安全漏洞来访问该网站。
值得称赞的是,斯巴鲁已经修复了这一漏洞。在得知这一情况后,他们仅用不到24小时就修复了问题。黑客表示,他们在11月20日晚上11点54分向斯巴鲁报告了这一问题,到11月21日下午4点,漏洞已被修复,黑客无法再利用这一漏洞。
谁可以信任你的数据?
这一切都引发了更大的问题,即私人数据似乎不再真正私密。正如Sam Curry在他的网站上指出的那样,即使没有恶意行为者,许多员工仍然可以访问这些数据。汽车行业的独特之处在于,来自德克萨斯州的18岁员工可以查询加利福尼亚州车辆的账单信息,而不会引起任何警报。这是他们日常工作的一部分。所有员工都有访问大量个人信息的权限,这一切都依赖于信任。
加利福尼亚消费者联合会执行董事Robert Herrell在接受《连线》杂志采访时也表达了同样的担忧:“斯巴鲁似乎有大量员工掌握着令人恐惧的详细信息。人们不知道这些跟踪正在发生。”
这不仅仅是斯巴鲁的问题,因为这种漏洞和数据访问可能是整个行业的普遍问题。目前,唯一的解决方案可能是购买联网汽车时完全退出数据收集。当然,这样做会失去一些功能,但为了防止窥探者窥探你的生活,这可能是值得的。”
图片来源:Sam Curry
“`(编辑:卖车180小义)
如果您现在或者未来有卖车计划,可以点击“卖车180”或者扫描下面的微信公众号,卖车180,又快又高价。
