斯巴魯剛剛糾正了其星鏈互聯繫統中的重大安全缺陷,該系統配備在美國、加拿大和日本的車輛上。安全研究人員 Sam Curry 和 Shubham Shah 發現的這些缺陷暴露了敏感的用戶數據,並使得遠端控制某些汽車功能成為可能,他們還提供了對汽車位置歷史記錄的詳細存取。
完全控制
研究人員實際上在一個針對斯巴魯員工的網站中發現了缺陷。透過利用密碼重設過程中的漏洞,他們能夠存取內部帳戶。連接後,他們可以遠端操縱車輛設置,例如解鎖車門、啟動引擎甚至啟動喇叭。
更令人擔憂的是,他們發現該網站允許查看一年內車輛的精確位置歷史記錄。為了測試這個缺陷,柯瑞使用了他母親的 2023 年斯巴魯,他能夠精確地進行地理定位。例如,他能夠追蹤她的就診情況、她拜訪過的朋友的地址,甚至她去教堂時停車的特定停車場。
研究人員表示,只要了解車主的一些基本訊息,例如姓氏、電子郵件地址或車牌,這些漏洞就可能影響任何配備 Starlink 的車輛。
反應迅速,但擔心隱私
該品牌在聲明中確認,沒有客戶資料外洩。斯巴魯也證實,一些員工可以存取車輛位置數據,但僅限於特定情況,例如在發生事故時與緊急救援人員共享資訊。這些員工接受培訓並必須簽署保密協議。
此案仍然凸顯了更廣泛的擔憂。研究人員指出,儘管該缺陷已得到糾正,但員工獲取位置數據是一個根本問題。保存至少一年的旅行歷史可能會被濫用。看看在歐洲實施 GDPR 規則的情況下,這種類型的洩密是否會在歐洲發生也很有趣。
一個超越斯巴魯的問題
近年來,其他製造商也發現了類似的缺陷,例如,或者。除了技術問題之外,該案件還引發了有關連網汽車收集多少個人資料及其安全性的問題。