斯巴鲁刚刚纠正了其星链互联系统中的重大安全缺陷,该系统配备在美国、加拿大和日本的车辆上。安全研究人员 Sam Curry 和 Shubham Shah 发现的这些缺陷暴露了敏感的用户数据,并使得远程控制某些汽车功能成为可能,他们还提供了对汽车位置历史记录的详细访问。
完全控制
研究人员实际上在一个针对斯巴鲁员工的网站中发现了缺陷。通过利用密码重置过程中的漏洞,他们能够访问内部帐户。连接后,他们可以远程操纵车辆设置,例如解锁车门、启动发动机甚至启动喇叭。
更令人担忧的是,他们发现该网站允许查看一年内车辆的精确位置历史记录。为了测试这个缺陷,库里使用了他母亲的 2023 斯巴鲁,他能够精确地进行地理定位。例如,他能够追踪她的就诊情况、她拜访过的朋友的地址,甚至她去教堂时停车的具体停车场。
研究人员表示,只要了解车主的一些基本信息,例如姓氏、电子邮件地址或车牌,这些漏洞就可能影响任何配备 Starlink 的车辆。
响应迅速,但担心隐私
该品牌在一份声明中确认,没有客户数据被泄露。斯巴鲁还证实,一些员工可以访问车辆位置数据,但仅限于特定情况,例如在发生事故时与紧急救援人员共享信息。这些员工接受培训并必须签署保密协议。
此案仍然凸显了更广泛的担忧。研究人员指出,尽管该缺陷已得到纠正,但员工获取位置数据是一个根本问题。保存至少一年的旅行历史可能会被滥用。看看在欧洲实施 GDPR 规则的情况下,这种类型的泄密是否会在欧洲发生也很有趣。
一个超越斯巴鲁的问题
近年来,其他制造商也发现了类似的缺陷,例如,或者。除了技术问题之外,该案件还引发了有关联网汽车收集多少个人数据及其安全性的问题。
