斯巴鲁WRX STI存软件漏洞 用户信息或泄露

业界 作者:HackerEye 2017-06-14 02:29:30
核心提示: 据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。 盖世汽车讯 据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。 黑科技,前瞻技术,热点车型,斯巴鲁WRX STI软件漏洞,斯巴鲁WRX STI令牌漏洞,斯巴鲁软件遭入侵 用户发现软件漏洞 据独立研究员艾伦·古兹曼(Aaron Guzman)表示,他在自己的爱车2017款斯巴鲁WRX STI中发现了8个软件漏洞(software vulnerabilities),这类漏洞或将允许未经授权的用户执行锁车门、按喇叭(honk the horn)、获取车辆的行车位置记录等操作,还能在侵入车载Starlink账户后窃取用户的账户信息。 据Data Breach Today报道,古兹曼在Starlink令牌中发现了“永久令牌问题(perma-token problems)”。斯巴鲁的Starlink采用随机生成的令牌,允许经过认证的用户对其进行访问。理论上讲,该认证将很快过期,以防止该令牌被重复使用。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。 其结果就是,若黑客知道受害人拥有一台2017款斯巴鲁或配置了Starlink技术的新款车型,或许他能够截取令牌并访问车主们的邮件,然后从斯巴鲁车载系统内获得用户的关键信息。这样,他们就能和车主一样,访问斯巴鲁车型的软件系统。 斯巴鲁的应对 最初,古兹曼发现2016款斯巴鲁WRX STI车型存在该软件漏洞,他表示曾将该问题上报给了斯巴鲁,据称对方已修复了该漏洞。然而,同样的软件漏洞却再次出现在了2017款WRX STI车型上。他表示:“斯巴鲁务必再次合并代码,重新修复漏洞。” 今年,古兹曼将该漏洞重新上报给斯巴鲁,据称已得到了斯巴鲁的积极回应。然而,古兹曼表示,大多数的软件漏洞已通过软件补丁修复,他将持续关注斯巴鲁发布的官方升级程序。 斯巴鲁表示,古兹曼利用他发现的软件漏洞,成功访问了2017款斯巴鲁WRX STI的账户数据。而斯巴鲁始终致力于将用户的风险降至最低,尽管公司并未设置“漏洞奖励计划(bug bounty program)”,但斯巴鲁将给予古兹曼奖励,鼓励他继续寻找该车型的软件漏洞。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接