斯巴魯WRX STI存軟體漏洞 用戶信息或泄露

據外媒報道，一位車主利用黑客技術侵入了斯巴魯WRX STI的車載軟體，他發現該軟體存在軟體漏洞和安全隱患，易受黑客攻擊。

用戶發現軟體漏洞

據獨立研究員艾倫·古茲曼(Aaron Guzman)表示，他在自己的愛車2017款斯巴魯WRX STI中發現了8個軟體漏洞(software vulnerabilities)，這類漏洞或將允許未經授權的用戶執行鎖車門、按喇叭(honk the horn)、獲取車輛的行車位置記錄等操作，還能在侵入車載Starlink賬戶后竊取用戶的賬戶信息。

據Data Breach Today報道，古茲曼在Starlink令牌中發現了「永久令牌問題(perma-token problems)」。斯巴魯的Starlink採用隨機生成的令牌，允許經過認證的用戶對其進行訪問。理論上講，該認證將很快過期，以防止該令牌被重複使用。然而，軟體漏洞卻允許斯巴魯用戶處於永久登陸狀態。該令牌採用URL方式發送，可在明碼電文(clear-text)資料庫中找到該令牌，即使已清除密碼已，該令牌永不過期。

其結果就是，若黑客知道受害人擁有一台2017款斯巴魯或配置了Starlink技術的新款車型，或許他能夠截取令牌並訪問車主們的郵件，然後從斯巴魯車載系統內獲得用戶的關鍵信息。這樣，他們就能和車主一樣，訪問斯巴魯車型的軟體系統。

斯巴魯的應對

最初，古茲曼發現2016款斯巴魯WRX STI車型存在該軟體漏洞，他表示曾將該問題上報給了斯巴魯，據稱對方已修復了該漏洞。然而，同樣的軟體漏洞卻再次出現在了2017款WRX STI車型上。他表示：「斯巴魯務必再次合併代碼，重新修復漏洞。」

今年，古茲曼將該漏洞重新上報給斯巴魯，據稱已得到了斯巴魯的積極回應。然而，古茲曼表示，大多數的軟體漏洞已通過軟體補丁修復，他將持續關注斯巴魯發布的官方升級程序。

斯巴魯表示，古茲曼利用他發現的軟體漏洞，成功訪問了2017款斯巴魯WRX STI的賬戶數據。而斯巴魯始終致力於將用戶的風險降至最低，儘管公司並未設置「漏洞獎勵計劃(bug bounty program)」，但斯巴魯將給予古茲曼獎勵，鼓勵他繼續尋找該車型的軟體漏洞。