斯巴鲁WRX STI存软件漏洞 用户信息或泄露
核心提示:
据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。
盖世汽车讯 据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。
黑科技,前瞻技术,热点车型,斯巴鲁WRX STI软件漏洞,斯巴鲁WRX STI令牌漏洞,斯巴鲁软件遭入侵
用户发现软件漏洞
据独立研究员艾伦·古兹曼(Aaron Guzman)表示,他在自己的爱车2017款斯巴鲁WRX STI中发现了8个软件漏洞(software vulnerabilities),这类漏洞或将允许未经授权的用户执行锁车门、按喇叭(honk the horn)、获取车辆的行车位置记录等操作,还能在侵入车载Starlink账户后窃取用户的账户信息。
据Data Breach Today报道,古兹曼在Starlink令牌中发现了“永久令牌问题(perma-token problems)”。斯巴鲁的Starlink采用随机生成的令牌,允许经过认证的用户对其进行访问。理论上讲,该认证将很快过期,以防止该令牌被重复使用。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。
其结果就是,若黑客知道受害人拥有一台2017款斯巴鲁或配置了Starlink技术的新款车型,或许他能够截取令牌并访问车主们的邮件,然后从斯巴鲁车载系统内获得用户的关键信息。这样,他们就能和车主一样,访问斯巴鲁车型的软件系统。
斯巴鲁的应对
最初,古兹曼发现2016款斯巴鲁WRX STI车型存在该软件漏洞,他表示曾将该问题上报给了斯巴鲁,据称对方已修复了该漏洞。然而,同样的软件漏洞却再次出现在了2017款WRX STI车型上。他表示:“斯巴鲁务必再次合并代码,重新修复漏洞。”
今年,古兹曼将该漏洞重新上报给斯巴鲁,据称已得到了斯巴鲁的积极回应。然而,古兹曼表示,大多数的软件漏洞已通过软件补丁修复,他将持续关注斯巴鲁发布的官方升级程序。
斯巴鲁表示,古兹曼利用他发现的软件漏洞,成功访问了2017款斯巴鲁WRX STI的账户数据。而斯巴鲁始终致力于将用户的风险降至最低,尽管公司并未设置“漏洞奖励计划(bug bounty program)”,但斯巴鲁将给予古兹曼奖励,鼓励他继续寻找该车型的软件漏洞。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 奋力打开改革发展新天地 7917508
- 2 保时捷断臂求生 7932400
- 3 刘强东提前发年终奖 7829383
- 4 “冷资源”里的“热经济” 7730507
- 5 全球约有1.9亿妇女为内异症患者 7667227
- 6 租客把客厅变成养鸡场 7598199
- 7 俄3人零下24℃山中待3天奇迹生还 7461283
- 8 为什么有些人会有“休耻感” 7365871
- 9 她还没上桌蛋糕分完了 7259591
- 10 吉尼斯纪录 世界最大锅杀猪菜 7189708