自2016年起,Subaru(速霸陸)推出了名為Starlink的多媒體科技系統。這套系統涵蓋了從車輛的資訊娛樂系統到導航,以及我們普遍愛用的各種現代便利功能。然而,正因為它的廣泛應用,也成為駭客攻擊的潛在目標。一旦遭到惡意入侵,其影響可能極為嚴重。
幸運的是,這次的潛在危機被「道德駭客」Sam Curry及其同事及時發現並舉報。他在個人部落格中詳細記錄了這次發現的過程,說明如何透過漏洞控制兩輛Subaru車輛。發現漏洞後,他立即通知Subaru,廠商迅速修復了問題。
根據Subaru美國分公司發表的聲明,他們在接到獨立安全研究人員的通報後,確認Starlink服務存在一項可能讓第三方存取使用者帳戶的漏洞,並立即採取行動進行修補。值得慶幸的是,這次漏洞並未導致任何Starlink使用者帳戶被非法入侵或洩露。
究竟發生了什麼事??? 根據Sam Curry的部落格,駭客發現了一種方法,可以透過漏洞取得Starlink的管理員權限,並將自己加到個別帳戶中。有了這種權限,他們只需要輸入基本資料(如車主的姓氏和郵遞區號,或車牌號碼)就能進入帳戶。一旦成功登入,駭客可以控制車輛的門鎖,啟動或關閉引擎,甚至查看車輛的即時位置。
除此之外,他們還能查詢過去12個月內的車輛位置歷史記錄,精確掌握車輛曾經停留的地點及時間。不僅如此,帳戶內的個人資料也可能被盜取,包括授權使用者資訊、住址,以及與帳戶關聯的信用卡最後四碼。
在測試中,駭客成功控制了一輛2023年的Subaru Impreza(經車主同意)並追蹤其位置歷史。他們也控制了另一輛車(同樣獲得允許),遠端開關車門鎖,整個過程由車主旁觀並確認。然而,車主並未收到任何通知,告知有新使用者被加入到其帳戶中。
雖然這次的這個漏洞已被及時修復,但這起事件強烈提醒我們,在高度連結的數位時代,安全風險無處不在。車輛系統的智慧化確實帶來便利,但也使駭客攻擊的風險大幅增加。
車主們在享受車上使用網路帶來的便捷功能時,應更加注意數位安全,並定期檢查帳戶活動是否異常。此外,車廠也需不斷加強其系統的安全性,確保使用者的資料及財產安全。這次事件雖未造成實際損害,但作為一次警惕,讓我們更加認識到網路世界的潛在危機與網路安全的重要性。
[Source:Samcurry.net]
Leave a Reply